Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
DataZone Integrazione di Amazon con la modalità ibrida AWS Lake Formation
Amazon DataZone è integrato con la modalità ibrida AWS Lake Formation. Questa integrazione ti consente di pubblicare e condividere facilmente le tue tabelle AWS Glue tramite Amazon DataZone senza la necessità di registrarle prima in AWS Lake Formation. La modalità ibrida ti consente di iniziare a gestire le autorizzazioni sulle tue tabelle AWS Glue tramite AWS Lake Formation continuando a mantenere le autorizzazioni IAM esistenti su queste tabelle.
Per iniziare, puoi abilitare l'impostazione di registrazione della posizione dei dati nel DefaultDataLakeblueprint nella console di DataZone gestione Amazon.
Abilita l'integrazione con la modalità ibrida AWS Lake Formation
-
Accedi alla DataZone console Amazon all'indirizzo https://console.aws.amazon.com/datazone
e accedi con le credenziali del tuo account. -
Scegli Visualizza domini e scegli il dominio in cui desideri abilitare l'integrazione con la modalità ibrida AWS Lake Formation.
-
Nella pagina dei dettagli del dominio, vai alla scheda Blueprints.
-
Dall'elenco Blueprint, scegli il DefaultDataLakeblueprint.
-
Assicurati che il DefaultDataLake blueprint sia abilitato. Se non è abilitato, segui i passaggi indicati Abilita i blueprint integrati nell' AWS account che possiede il dominio Amazon DataZone per abilitarlo nel tuo AWS account.
-
Nella pagina dei DefaultDataLake dettagli, apri la scheda Provisioning e scegli il pulsante Modifica nell'angolo in alto a destra della pagina.
-
In Registrazione della posizione dei dati, seleziona la casella per abilitare la registrazione della posizione dei dati.
-
Per il ruolo di gestione della posizione dei dati, puoi creare un nuovo ruolo IAM o selezionare un ruolo IAM esistente. Amazon DataZone utilizza questo ruolo per gestire l'accesso in lettura/scrittura ai bucket Amazon S3 scelti per Data Lake utilizzando la modalità di accesso ibrida Lake AWS Formation. Per ulteriori informazioni, consulta AmazonDataZone<region>S3Manage- -< > domainId.
-
Facoltativamente, puoi scegliere di escludere determinate sedi Amazon S3 se non desideri che DataZone Amazon le registri automaticamente in modalità ibrida. A tal fine, completa i seguenti passaggi:
-
Scegli il pulsante di attivazione/disattivazione per escludere località Amazon S3 specificate.
-
Fornisci l'URI del bucket Amazon S3 che desideri escludere.
-
Per aggiungere altri bucket, scegli Aggiungi posizione S3.
Nota
Amazon consente DataZone solo l'esclusione di una posizione S3 root. Qualsiasi posizione S3 all'interno del percorso di una posizione S3 principale verrà automaticamente esclusa dalla registrazione.
-
Seleziona Salvataggio delle modifiche.
-
Dopo aver abilitato l'impostazione di registrazione della posizione dei dati nel tuo AWS account, quando un consumatore di dati si iscrive a una tabella AWS Glue gestita tramite le autorizzazioni IAM, Amazon DataZone registra prima le posizioni Amazon S3 di questa tabella in modalità ibrida, quindi concede l'accesso al consumatore di dati gestendo le autorizzazioni sulla tabella tramite Lake Formation. AWS Ciò garantisce che le autorizzazioni IAM sulla tabella continuino a esistere con le autorizzazioni AWS Lake Formation appena concesse, senza interrompere i flussi di lavoro esistenti.
Come gestire le posizioni crittografate di Amazon S3 quando si abilita l'integrazione in modalità ibrida AWS Lake Formation in Amazon DataZone
Se utilizzi una posizione Amazon S3 crittografata con una chiave KMS gestita dal cliente o AWS gestita dal cliente, il ruolo AmazonDataZoneS3Manage deve avere l'autorizzazione a crittografare e decrittografare i dati con la chiave KMS oppure la politica della chiave KMS deve concedere le autorizzazioni sulla chiave per il ruolo.
Se la tua posizione Amazon S3 è crittografata con una chiave AWS gestita, aggiungi la seguente policy in linea al ruolo: AmazonDataZoneDataLocationManagement
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "<AWS managed key ARN>" } ]
Se la tua posizione Amazon S3 è crittografata con una chiave gestita dal cliente, procedi come segue:
-
Apri la console AWS KMS all'indirizzo https://console.aws.amazon.com/kms
e accedi come utente amministrativo di AWS Identity and Access Management (IAM) o come utente che può modificare la politica chiave della chiave KMS utilizzata per crittografare la posizione. -
Nel riquadro di navigazione, scegli Customer managed keys, quindi scegli il nome della chiave KMS desiderata.
-
Nella pagina dei dettagli della chiave KMS, scegli la scheda Politica chiave, quindi esegui una delle seguenti operazioni per aggiungere il tuo ruolo personalizzato o il ruolo collegato al servizio Lake Formation come utente chiave KMS:
-
Se viene visualizzata la visualizzazione predefinita (con le sezioni Amministratori chiave, Eliminazione delle chiavi, Utenti chiave e Altri AWS account), nella sezione Utenti chiave, aggiungi il ruolo. AmazonDataZoneDataLocationManagement
-
Se viene visualizzata la politica chiave (JSON), modifica la politica per aggiungere il AmazonDataZoneDataLocationManagementruolo all'oggetto «Consenti l'uso della chiave», come mostrato nell'esempio seguente
... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/service-role/AmazonDataZoneDataLocationManage-<region>-<domain-id>", "arn:aws:iam::111122223333:user/keyuser" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...
-
Nota
Se la chiave KMS o la posizione Amazon S3 non si trovano AWS nello stesso account del catalogo dati, segui le istruzioni in Registrazione di una posizione Amazon S3 crittografata tra gli account. AWS
