Modalità di accesso ibrida

AWS Lake Formation la modalità di accesso ibrida supporta due percorsi di autorizzazione per gli stessi AWS Glue Data Catalog database, tabelle e viste.
 Nel primo percorso, Lake Formation ti consente di selezionare principali specifici e concedere loro i permessi di Lake Formation per accedere a database e tabelle attivando il consenso. Il secondo percorso consente a tutti gli altri principali di accedere a queste risorse tramite le politiche e le azioni IAM principali predefinite per Amazon AWS Glue S3.

Quando registri una sede Amazon S3 con Lake Formation, hai la possibilità di applicare le autorizzazioni di Lake Formation per tutte le risorse in questa sede o utilizzare la modalità di accesso ibrida. Per impostazione predefinita, la modalità di accesso ibrido applica solo le CREATE_TABLE autorizzazioni. CREATE_PARTITION UPDATE_TABLE Quando una sede Amazon S3 è in modalità ibrida, puoi abilitare le autorizzazioni Lake Formation attivando i principali per database e tabelle in quella posizione.


Pertanto, la modalità di accesso ibrido offre la flessibilità necessaria per abilitare selettivamente Lake Formation per database e tabelle nel tuo Data Catalog per un set specifico di utenti senza interrompere l'accesso per altri utenti o carichi di lavoro esistenti.

Per considerazioni e limitazioni, vedere Considerazioni e limitazioni della modalità di accesso ibrido .

Termini e definizioni

Di seguito sono riportate le definizioni delle risorse di Data Catalog in base alla modalità di impostazione delle autorizzazioni di accesso:

Risorsa Lake Formation

Una risorsa registrata presso Lake Formation. Gli utenti richiedono le autorizzazioni di Lake Formation per accedere alla risorsa.

AWS Glue risorsa

Una risorsa che non è registrata presso Lake Formation. Gli utenti richiedono solo IAM le autorizzazioni per accedere alla risorsa perché dispone di autorizzazioni di IAMAllowedPrincipals gruppo. Le autorizzazioni di Lake Formation non vengono applicate.

Per ulteriori informazioni sulle autorizzazioni IAMAllowedPrincipals di gruppo, vedere. Autorizzazioni per i metadati

Risorsa ibrida

Una risorsa registrata in modalità di accesso ibrida. In base agli utenti che accedono alla risorsa, la risorsa passa dinamicamente dall'essere una risorsa Lake Formation a una AWS Glue risorsa.

Casi d'uso comuni della modalità di accesso ibrido

È possibile utilizzare la modalità di accesso ibrido per fornire l'accesso in scenari di condivisione dei dati con account singolo e tra account:

Scenari con account singolo

• Convertire una AWS Glue risorsa in una risorsa ibrida: in questo scenario, attualmente non stai utilizzando Lake Formation ma desideri adottare le autorizzazioni Lake Formation per i database e le tabelle di Data Catalog. Quando registri la posizione Amazon S3 in modalità di accesso ibrido, puoi concedere le autorizzazioni di Lake Formation agli utenti che optano per database e tabelle specifici che puntano a quella posizione.

• Convertire una risorsa Lake Formation in una risorsa ibrida: attualmente, utilizzi le autorizzazioni di Lake Formation per controllare l'accesso a un database Data Catalog, ma desideri fornire l'accesso a nuovi principali utilizzando le IAM autorizzazioni per Amazon S3 e AWS Glue senza interrompere le autorizzazioni esistenti di Lake Formation.

  Quando aggiorni la registrazione di una posizione dati alla modalità di accesso ibrida, i nuovi responsabili possono accedere al database Data Catalog puntando alla posizione Amazon S3 IAM utilizzando le policy di autorizzazione senza interrompere le autorizzazioni Lake Formation degli utenti esistenti.

  Prima di aggiornare la registrazione della posizione dei dati per abilitare la modalità di accesso ibrida, devi prima attivare i principali che attualmente accedono alla risorsa con le autorizzazioni di Lake Formation.
 Questo serve a prevenire potenziali interruzioni del flusso di lavoro corrente.
 È inoltre necessario concedere al IAMAllowedPrincipal gruppo l'Superautorizzazione per le tabelle del database.

Scenari di condivisione dei dati tra account

• Condividi AWS Glue risorse utilizzando la modalità di accesso ibrido: in questo scenario, l'account produttore ha tabelle in un database che sono attualmente condivise con un account consumer utilizzando le politiche di IAM autorizzazione per Amazon S3 AWS Glue e le azioni. La posizione dei dati del database non è registrata con Lake Formation.

  Prima di registrare la posizione dei dati in modalità di accesso ibrido, è necessario aggiornare le impostazioni della versione dell'account Cross alla versione 4. La versione 4 fornisce le nuove politiche di AWS RAM autorizzazione necessarie per la condivisione tra account quando il IAMAllowedPrincipal gruppo dispone dell'Superautorizzazione sulla risorsa. Per le risorse con autorizzazioni di IAMAllowedPrincipal gruppo, puoi concedere le autorizzazioni di Lake Formation agli account esterni e consentire loro di utilizzare le autorizzazioni Lake Formation. L'amministratore del data lake nell'account del destinatario può concedere le autorizzazioni di Lake Formation ai responsabili dell'account e autorizzarli a far valere le autorizzazioni di Lake Formation.

• Condividi le risorse di Lake Formation utilizzando la modalità di accesso ibrida: attualmente, l'account produttore contiene tabelle in un database che vengono condivise con un account consumatore che applica le autorizzazioni di Lake Formation. La posizione dei dati del database è registrata presso Lake Formation.

  In questo caso, puoi aggiornare la registrazione della posizione Amazon S3 alla modalità di accesso ibrida e condividere i dati di Amazon S3 e i metadati di Data Catalog utilizzando le policy dei bucket di Amazon S3 e le politiche delle risorse del Catalogo dati con i principali dell'account consumatore. È necessario concedere nuovamente le autorizzazioni esistenti di Lake Formation e attivare i principali prima di aggiornare la registrazione delle sedi Amazon S3. Inoltre, devi concedere al gruppo Super l'autorizzazione per le tabelle del database. IAMAllowedPrincipals

Argomenti

• Come funziona la modalità di accesso ibrida
• Configurazione della modalità di accesso ibrida: scenari comuni
• Rimozione dei principali e delle risorse dalla modalità di accesso ibrida
• Visualizzazione dei principali e delle risorse in modalità di accesso ibrida
• Risorse aggiuntive