Langkah 4: Alihkan penyimpanan data Anda ke model izin Lake Formation - AWS Lake Formation
Verifikasi izin Lake FormationMengamankan sumber daya Katalog Data yang adaAktifkan izin Lake Formation untuk lokasi Amazon S3 Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 4: Alihkan penyimpanan data Anda ke model izin Lake Formation

Tingkatkan ke Lake Formation mengizinkan satu lokasi data pada satu waktu. Untuk melakukan itu, ulangi seluruh bagian ini sampai Anda telah mendaftarkan semua jalur Amazon Simple Storage Service (Amazon S3) yang direferensikan oleh Katalog Data Anda.

Verifikasi izin Lake Formation

Sebelum mendaftarkan lokasi, lakukan langkah verifikasi untuk memastikan bahwa kepala sekolah yang benar memiliki izin Lake Formation yang diperlukan, dan tidak ada izin Lake Formation yang diberikan kepada kepala sekolah yang seharusnya tidak memilikinya. Menggunakan operasi Lake Formation GetEffectivePermissionsForPath API, identifikasi sumber daya Katalog Data yang mereferensikan lokasi Amazon S3, bersama dengan prinsipal yang memiliki izin pada sumber daya tersebut.

AWS CLI Contoh berikut menampilkan database dan tabel Katalog Data yang mereferensikan bucket Amazon products S3.

aws lakeformation get-effective-permissions-for-path --resource-arn arn:aws:s3:::products --profile datalake_admin

Perhatikan profile opsinya. Kami menyarankan Anda menjalankan perintah sebagai administrator danau data.

Berikut ini adalah kutipan dari hasil yang dikembalikan.

{
        "PermissionsWithGrantOption": [
            "SELECT"
        ],
        "Resource": {
            "TableWithColumns": {
                "Name": "inventory_product",
                "ColumnWildcard": {},
                "DatabaseName": "inventory"
            }
        },
        "Permissions": [
            "SELECT"
        ],
        "Principal": {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1",
            "DataLakePrincipalType": "IAM_USER"
        }
 },...
penting

Jika Katalog AWS Glue Data Anda dienkripsi, hanya GetEffectivePermissionsForPath mengembalikan database dan tabel yang dibuat atau dimodifikasi setelah ketersediaan umum Lake Formation.

Mengamankan sumber daya Katalog Data yang ada

Selanjutnya, cabut Super izin dari IAMAllowedPrincipals setiap tabel dan database yang Anda identifikasi untuk lokasi tersebut.

Awas

Jika Anda memiliki otomatisasi yang membuat database dan tabel di Katalog Data, langkah-langkah berikut dapat menyebabkan pekerjaan otomatisasi dan hilir ekstrak, transformasi, dan pemuatan (ETL) gagal. Lanjutkan hanya setelah Anda memodifikasi proses yang ada atau memberikan izin Formasi Danau eksplisit ke kepala sekolah yang diperlukan. Untuk informasi tentang izin Lake Formation, lihatReferensi izin Lake Formation.

Untuk mencabut Super dari IAMAllowedPrincipals atas meja

  1. Buka AWS Lake Formation konsol di https://console.aws.amazon.com/lakeformation/. Masuk sebagai administrator danau data.

  2. Di panel navigasi, pilih Tabel.

  3. Pada halaman Tabel, pilih tombol radio di sebelah tabel yang diinginkan.

  4. Pada menu Tindakan, pilih Cabut.

  5. Dalam kotak dialog Cabut izin, di daftar pengguna dan peran IAM, gulir ke bawah ke judul Grup, dan pilih IAM. AllowedPrincipals

  6. Di bawah izin Tabel, pastikan Super dipilih, lalu pilih Batalkan.

Untuk mencabut Super dari IAMAllowedPrincipals database

  1. Buka AWS Lake Formation konsol di https://console.aws.amazon.com/lakeformation/. Masuk sebagai administrator danau data.

  2. Di panel navigasi, pilih Basis data.

  3. Pada halaman Database, pilih tombol radio di sebelah database yang diinginkan.

  4. Di menu Tindakan, pilih Edit.

  5. Pada halaman Edit database, hapus Gunakan hanya kontrol akses IAM untuk tabel baru dalam database ini, lalu pilih Simpan.

  6. Kembali ke halaman Database, pastikan bahwa database masih dipilih, dan kemudian pada menu Tindakan, pilih Cabut.

  7. Dalam kotak dialog Cabut izin, di daftar pengguna dan peran IAM, gulir ke bawah ke judul Grup, dan pilih IAM. AllowedPrincipals

  8. Di bawah Izin database, pastikan Super dipilih, lalu pilih Cabut.

Aktifkan izin Lake Formation untuk lokasi Amazon S3 Anda

Selanjutnya, daftarkan lokasi Amazon S3 dengan Lake Formation. Untuk melakukan ini, Anda dapat menggunakan proses yang dijelaskan dalamMenambahkan lokasi Amazon S3 ke danau data Anda. Atau, gunakan operasi RegisterResource API seperti yang dijelaskan dalamAPI penjual kredenal.

catatan

Jika lokasi induk terdaftar, Anda tidak perlu mendaftarkan lokasi anak.

Setelah Anda menyelesaikan langkah-langkah ini dan menguji apakah pengguna Anda dapat mengakses data mereka, Anda telah berhasil meningkatkan ke izin Lake Formation. Lanjutkan dengan langkah selanjutnya,Langkah 5: Amankan sumber daya Katalog Data baru.