Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengelola akses kueri untuk pelanggan Security Lake
Pelanggan dengan akses kueri dapat meminta data yang dikumpulkan Security Lake. Pelanggan ini langsung menanyakan AWS Lake Formation tabel di bucket S3 Anda dengan layanan seperti Amazon Athena. Meskipun mesin kueri utama untuk Security Lake adalah Athena, Anda juga dapat menggunakan layanan lain, seperti Amazon Redshift Spectrum dan Spark SQL, yang terintegrasi dengan file. AWS Glue Data Catalog
catatan
Bagian ini menjelaskan cara memberikan akses kueri ke pelanggan pihak ketiga. Untuk informasi tentang menjalankan kueri terhadap data lake Anda sendiri, lihatLangkah 4: Lihat dan kueri data Anda sendiri.
Prasyarat untuk membuat pelanggan dengan akses kueri
Anda harus menyelesaikan prasyarat berikut sebelum Anda dapat membuat pelanggan dengan akses data di Security Lake.
Topik
Memverifikasi izin
Sebelum membuat pelanggan dengan akses kueri, verifikasi bahwa Anda memiliki izin untuk melakukan daftar tindakan berikut.
Untuk memverifikasi izin Anda, gunakan IAM untuk meninjau kebijakan IAM yang dilampirkan pada identitas IAM Anda. Kemudian, bandingkan informasi dalam kebijakan tersebut dengan daftar tindakan berikut yang harus Anda lakukan untuk membuat pelanggan dengan akses kueri.
-
iam:CreateRole
-
iam:DeleteRolePolicy
-
iam:GetRole
-
iam:PutRolePolicy
-
lakeformation:GrantPermissions
-
lakeformation:ListPermissions
-
lakeformation:RegisterResource
-
lakeformation:RevokePermissions
-
ram:GetResourceShareAssociations
-
ram:GetResourceShares
-
ram:UpdateResourceShare
penting
Setelah Anda memverifikasi izin:
Jika Anda berencana untuk menggunakan konsol Security Lake untuk menambahkan pelanggan dengan akses kueri, Anda dapat melewati langkah berikutnya dan melanjutkan keIzin administrator Grant Lake Formation. Security Lake menciptakan semua peran IAM yang diperlukan atau menggunakan peran yang ada atas nama Anda.
Jika Anda berencana menggunakan Security Lake API atau CLI untuk menambahkan pelanggan dengan akses kueri, lanjutkan dengan langkah berikutnya untuk membuat peran IAM untuk menanyakan data Security Lake.
Buat peran IAM untuk menanyakan data Security Lake (API dan langkah AWS CLI-only)
Saat menggunakan Security Lake API atau AWS CLI untuk memberikan akses kueri ke pelanggan, Anda harus membuat peran bernamaAmazonSecurityLakeMetaStoreManager
. Security Lake menggunakan peran ini untuk mendaftarkan AWS Glue partisi dan memperbarui AWS Glue tabel. Anda mungkin telah membuat peran ini saat Membuat peran IAM yang diperlukan.
Izin administrator Grant Lake Formation
Anda juga harus menambahkan izin administrator Lake Formation ke peran IAM yang Anda gunakan untuk mengakses konsol Security Lake dan menambahkan pelanggan.
Anda dapat memberikan izin administrator Lake Formation untuk peran Anda dengan mengikuti langkah-langkah berikut:
Buka konsol Lake Formation dihttps://console.aws.amazon.com/lakeformation/
. -
Masuk sebagai pengguna administratif.
-
Jika jendela Selamat Datang di Lake Formation muncul, pilih pengguna yang Anda buat atau pilih di Langkah 1, lalu pilih Memulai.
-
Jika Anda tidak melihat jendela Selamat Datang di Lake Formation, lakukan langkah-langkah berikut untuk mengonfigurasi Administrator Lake Formation.
-
Di panel navigasi, di bawah Izin, pilih Peran dan tugas administratif. Di bagian Administrator danau data, pilih Pilih administrator.
-
Di kotak dialog Kelola data lake administrator, untuk pengguna dan peran IAM, pilih peran administrator yang digunakan saat mengakses konsol Security Lake, lalu pilih Simpan.
-
Untuk informasi selengkapnya tentang mengubah izin untuk administrator data lake, lihat Membuat administrator data lake di Panduan AWS Lake Formation Pengembang.
Peran IAM harus memiliki SELECT
hak istimewa pada database dan tabel yang ingin Anda berikan akses kepada pelanggan. Untuk petunjuk tentang cara melakukannya, lihat Memberikan izin Katalog Data menggunakan metode sumber daya bernama di Panduan AWS Lake Formation Pengembang.
Membuat pelanggan dengan akses kueri
Pilih metode pilihan Anda untuk membuat pelanggan dengan akses kueri saat ini Wilayah AWS. Pelanggan dapat meminta data hanya dari Wilayah AWS yang dibuat. Untuk membuat pelanggan, Anda harus memiliki Akun AWS ID dan ID eksternal pelanggan. ID eksternal adalah pengidentifikasi unik yang disediakan pelanggan kepada Anda. Untuk informasi selengkapnya tentang ID eksternal, lihat Cara menggunakan ID eksternal saat memberikan akses ke AWS sumber daya Anda kepada pihak ketiga dalam Panduan Pengguna IAM.
catatan
Security Lake tidak mendukung berbagi data lintas akun Lake Formation versi 1. Anda harus memperbarui berbagi data lintas akun Lake Formation ke versi 2 atau versi 3. Untuk langkah-langkah memperbarui pengaturan versi Cross account melalui AWS Lake Formation konsol atau AWS CLI, lihat Untuk mengaktifkan versi baru di Panduan AWS Lake Formation Pengembang.
Menyiapkan berbagi tabel lintas akun (langkah pelanggan)
Security Lake menggunakan berbagi tabel lintas akun Lake Formation untuk mendukung akses kueri pelanggan. Saat Anda membuat pelanggan dengan akses kueri di konsol Security Lake, API, atau AWS CLI, Security Lake membagikan informasi tentang tabel Lake Formation yang relevan dengan pelanggan dengan membuat pembagian sumber daya di AWS Resource Access Manager ()AWS RAM.
Saat Anda membuat jenis pengeditan tertentu ke pelanggan dengan akses kueri, Security Lake membuat pembagian sumber daya baru. Untuk informasi selengkapnya, lihat Mengedit pelanggan dengan akses kueri.
Pelanggan harus mengikuti langkah-langkah ini untuk mengkonsumsi data dari tabel Lake Formation Anda:
-
Terima pembagian sumber daya — Pelanggan harus menerima pembagian sumber daya yang memiliki
resourceShareArn
danresourceShareName
yang dihasilkan saat Anda membuat atau mengedit pelanggan. Pilih salah satu metode akses berikut:Untuk konsol dan AWS CLI, lihat Menerima undangan berbagi sumber daya dari AWS RAM.
-
Untuk API, panggil GetResourceShareInvitationsAPI. Filter berdasarkan
resourceShareArn
danresourceShareName
untuk menemukan pembagian sumber daya yang benar. Terima undangan dengan AcceptResourceShareInvitationAPI.
Undangan berbagi sumber daya kedaluwarsa dalam 12 jam, jadi Anda harus memvalidasi dan menerima undangan dalam waktu 12 jam. Jika undangan kedaluwarsa, Anda terus melihatnya dalam
PENDING
status, tetapi menerimanya tidak akan memberi Anda akses ke sumber daya bersama. Ketika lebih dari 12 jam telah berlalu, hapus pelanggan Lake Formation dan buat ulang pelanggan untuk mendapatkan undangan berbagi sumber daya baru. -
Membuat tautan sumber daya ke tabel bersama — Pelanggan harus membuat tautan sumber daya ke tabel Lake Formation bersama di salah satu AWS Lake Formation (jika menggunakan konsol) atau AWS Glue (jika menggunakan AWS CLI API/). Tautan sumber daya ini mengarahkan akun pelanggan ke tabel bersama. Pilih salah satu metode akses berikut:
-
Untuk konsol dan AWS CLI, lihat Membuat tautan sumber daya ke tabel Katalog Data bersama di Panduan AWS Lake Formation Pengembang.
-
Untuk API, panggil AWS Glue CreateTableAPI. Kami menyarankan agar pelanggan juga membuat database unik dengan CreateDatabaseAPI untuk menyimpan tabel tautan sumber daya.
-
-
Kueri tabel bersama — Layanan seperti Amazon Athena dapat merujuk ke tabel secara langsung, dan data baru yang dikumpulkan Security Lake secara otomatis tersedia untuk kueri. Kueri berjalan di pelanggan Akun AWS, dan biaya yang dikeluarkan dari kueri ditagih ke pelanggan. Anda dapat mengontrol akses baca ke sumber daya di akun Security Lake Anda sendiri.
Untuk informasi selengkapnya tentang pemberian izin lintas akun, lihat Berbagi data lintas akun di Lake Formation di Panduan Pengembang.AWS Lake Formation
Mengedit pelanggan dengan akses kueri
Security Lake mendukung pengeditan ke pelanggan dengan akses kueri. Anda dapat mengedit nama pelanggan, deskripsi, ID eksternal, prinsipal (Akun AWS ID), dan sumber log yang dapat dikonsumsi pelanggan. Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk mengedit pelanggan dengan akses kueri saat ini Wilayah AWS.
catatan
Security Lake tidak mendukung berbagi data lintas akun Lake Formation versi 1. Anda harus memperbarui berbagi data lintas akun Lake Formation ke versi 2 atau versi 3. Untuk langkah-langkah memperbarui pengaturan versi Cross account melalui AWS Lake Formation konsol atau AWS CLI, lihat Untuk mengaktifkan versi baru di Panduan AWS Lake Formation Pengembang.