Registrazione di una sede Amazon S3 - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrazione di una sede Amazon S3

Devi specificare un ruolo AWS Identity and Access Management (IAM) quando registri una sede Amazon Simple Storage Service (Amazon S3). Lake Formation assume questo ruolo quando concede credenziali temporanee ai AWS servizi integrati che accedono ai dati in quella posizione.

Importante

Evita di registrare un bucket Amazon S3 con Requester pay abilitato. Per i bucket registrati con Lake Formation, il ruolo utilizzato per registrare il bucket viene sempre visualizzato come richiedente. Se al bucket si accede da un altro AWS account, al proprietario del bucket viene addebitato l'accesso ai dati se il ruolo appartiene allo stesso account del proprietario del bucket.

Puoi usare la AWS Lake Formation console, Lake Formation API o AWS Command Line Interface (AWS CLI) per registrare una sede Amazon S3.

Prima di iniziare

Rivedi i requisiti per il ruolo utilizzato per registrare la sede.

Per registrare una posizione (console)
Importante

Le seguenti procedure presuppongono che la posizione Amazon S3 si trovi nello stesso AWS account del Data Catalog e che i dati in essa contenuti non siano crittografati. Altre sezioni di questo capitolo riguardano la registrazione tra account e la registrazione di posizioni crittografate.

  1. Apri la AWS Lake Formation console all'indirizzo https://console.aws.amazon.com/lakeformation/. Accedi come amministratore del data lake o come utente con l'lakeformation:RegisterResourceIAMautorizzazione.

  2. Nel riquadro di navigazione, in Amministrazione, seleziona Posizioni dei data lake.

  3. Scegli Registra posizione, quindi scegli Sfoglia per selezionare un percorso Amazon Simple Storage Service (Amazon S3).

  4. (Facoltativo, ma fortemente consigliato) Seleziona Rivedi le autorizzazioni della posizione per visualizzare un elenco di tutte le risorse esistenti nella posizione Amazon S3 selezionata e le relative autorizzazioni.

    La registrazione della località selezionata potrebbe consentire agli utenti di Lake Formation di accedere ai dati già presenti in quella posizione. La visualizzazione di questo elenco ti aiuta a garantire che i dati esistenti rimangano sicuri.

  5. Per il IAMruolo, scegli il ruolo AWSServiceRoleForLakeFormationDataAccess collegato al servizio (predefinito) o un IAM ruolo personalizzato che soddisfi i requisiti di. Requisiti per i ruoli utilizzati per registrare le sedi

    Puoi aggiornare una posizione registrata o altri dettagli solo quando la registri utilizzando un ruolo personalizzatoIAM. Per modificare una sede registrata utilizzando un ruolo collegato al servizio, è necessario annullare la registrazione della sede e registrarla nuovamente.

  6. Scegli l'opzione Enable Data Catalog Federation per consentire a Lake Formation di assumere un ruolo e vendere credenziali temporanee ai AWS servizi integrati per accedere alle tabelle nei database federati. Se una posizione è registrata con Lake Formation e desideri utilizzare la stessa posizione per una tabella in un database federato, devi registrare la stessa posizione con l'opzione Enable Data Catalog Federation.

  7. Scegli la modalità di accesso ibrida per non abilitare le autorizzazioni di Lake Formation per impostazione predefinita. Quando registri una posizione Amazon S3 in modalità di accesso ibrido, puoi abilitare le autorizzazioni Lake Formation optando per i principali database e tabelle in quella posizione.


    Per ulteriori informazioni sulla configurazione della modalità di accesso ibrida, consulta. Modalità di accesso ibrida

  8. Seleziona Registra posizione.

Per registrare una sede (AWS CLI)
  1. Registra una nuova sede con Lake Formation

    Questo esempio utilizza un ruolo collegato al servizio per registrare la posizione. È possibile utilizzare l'--role-arnargomento invece per fornire il proprio ruolo.

    Replace (Sostituisci) <s3-path> con un percorso Amazon S3 valido, un numero di account con un AWS account valido e <s3-access-role> con un IAM ruolo che dispone delle autorizzazioni per registrare una posizione di dati.

    Nota

    Non è possibile modificare le proprietà di una posizione registrata se è registrata utilizzando un ruolo collegato al servizio.

    aws lakeformation register-resource \
 --resource-arn arn:aws:s3:::<s3-path> \
 --use-service-linked-role

    L'esempio seguente utilizza un ruolo personalizzato per registrare la posizione.

    aws lakeformation register-resource \
 --resource-arn arn:aws:s3:::<s3-path> \
 --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role>
  2. Per aggiornare una località registrata con Lake Formation

    Puoi modificare una sede registrata solo se è registrata utilizzando un IAM ruolo personalizzato. Per una sede registrata con un ruolo collegato al servizio, è necessario annullare la registrazione della posizione e registrarla nuovamente. Per ulteriori informazioni, consulta Annullamento della registrazione di una sede Amazon S3. 

    aws lakeformation update-resource \
 --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role>\
 --resource-arn arn:aws:s3:::<s3-path>              
             
    aws lakeformation update-resource \
 --resource-arn arn:aws:s3:::<s3-path> \
 --use-service-linked-role
  3. Registra una posizione dati in modalità di accesso ibrida con federazione
    aws lakeformation register-resource \
 --resource-arn arn:aws:s3:::<s3-path> \
 --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role> \
 --hybrid-access-enabled         
       
    aws lakeformation register-resource \
 --resource-arn arn:aws:s3:::<s3-path> \
 --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role> \
 --with-federation                
    aws lakeformation update-resource \
 --resource-arn arn:aws:s3:::<s3-path> \
 --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role> \
 --hybrid-access-enabled

Per ulteriori informazioni, vedere RegisterResourceAPIoperazione.

Nota

Dopo aver registrato una posizione Amazon S3, qualsiasi AWS Glue tabella che punta alla posizione (o a una delle sue sedi secondarie) restituirà il valore del IsRegisteredWithLakeFormation parametro come true nella chiamata. GetTable Esiste una limitazione nota in base alla quale API le operazioni di Data Catalog, ad esempio GetTables e SearchTables non, aggiornano il valore del IsRegisteredWithLakeFormation parametro e restituiscono il valore predefinito, che è falso. Si consiglia di utilizzare il GetTable API per visualizzare il valore corretto del IsRegisteredWithLakeFormation parametro.