Mendaftarkan mesin kueri pihak ketiga - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mendaftarkan mesin kueri pihak ketiga

Sebelum mesin kueri pihak ketiga dapat menggunakan API operasi integrasi aplikasi, Anda perlu secara eksplisit mengaktifkan izin untuk mesin kueri untuk memanggil API operasi atas nama Anda. Ini dilakukan dalam beberapa langkah:

  1. Anda perlu menentukan AWS akun dan tag IAM sesi yang memerlukan izin untuk memanggil API operasi integrasi aplikasi melalui AWS Lake Formation konsol, AWS CLI atauAPI/SDK.

  2. Saat mesin kueri pihak ketiga mengasumsikan peran eksekusi di akun Anda, mesin kueri harus melampirkan tag sesi yang terdaftar di Lake Formation yang mewakili mesin pihak ketiga. Lake Formationmenggunakan tag ini untuk memvalidasi bahwa jika permintaan berasal dari mesin yang disetujui. Untuk informasi selengkapnya tentang tag sesi, lihat Tag sesi di Panduan IAM Pengguna.

  3. Saat menyiapkan peran eksekusi mesin kueri pihak ketiga, Anda harus memiliki kumpulan izin minimum berikut dalam IAM kebijakan:

    {
  "Version": "2012-10-17",
  "Statement": {"Effect": "Allow",
    "Action": [
      "lakeformation:GetDataAccess",      
      "glue:GetTable",
      "glue:GetTables",
      "glue:GetDatabase",
      "glue:GetDatabases",
      "glue:CreateDatabase",
      "glue:GetUserDefinedFunction",
      "glue:GetUserDefinedFunctions",
      "glue:GetPartition",
      "glue:GetPartitions"
    ],
    "Resource": "*"
  }
}

  4. Siapkan kebijakan kepercayaan peran pada peran eksekusi mesin kueri untuk memiliki kontrol akses yang baik pada pasangan nilai kunci tag sesi mana yang dapat dilampirkan ke peran ini. Dalam contoh berikut, peran ini hanya diperbolehkan untuk memiliki kunci tag sesi "LakeFormationAuthorizedCaller" dan nilai "engine1" tag sesi yang akan dilampirkan, dan tidak ada pasangan nilai kunci tag sesi lainnya yang diizinkan.

    {
    "Sid": "AllowPassSessionTags",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/query-execution-role"
    },
    "Action": "sts:TagSession",
    "Condition": {
    "StringLike": {
        "aws:RequestTag/LakeFormationAuthorizedCaller": "engine1"        }
    }
}

Saat LakeFormationAuthorizedCaller memanggil AssumeRole API operasiSTS: untuk mengambil kredensi untuk mesin kueri yang akan digunakan, tag sesi harus disertakan dalam permintaan. AssumeRole Kredensi sementara yang dikembalikan dapat digunakan untuk membuat API permintaan integrasi Lake Formation aplikasi.

Lake FormationAPIoperasi integrasi aplikasi membutuhkan prinsipal panggilan untuk menjadi IAM peran. IAMPeran harus menyertakan tag sesi dengan nilai yang telah ditentukan sebelumnya yang telah didaftarkanLake Formation. Tag ini memungkinkan Lake Formation untuk memverifikasi bahwa peran yang digunakan untuk memanggil API operasi integrasi aplikasi diizinkan untuk melakukannya.