Registrazione di una sede Amazon S3 - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrazione di una sede Amazon S3

È necessario specificare un ruolo AWS Identity and Access Management (IAM) quando si registra una sede Amazon Simple Storage Service (Amazon S3). Lake Formation assume questo ruolo quando concede credenziali temporanee ai AWS servizi integrati che accedono ai dati in quella posizione.

Importante

Evita di registrare un bucket Amazon S3 con Requester pay abilitato. Per i bucket registrati con Lake Formation, il ruolo utilizzato per registrare il bucket viene sempre visualizzato come richiedente. Se al bucket si accede da un altro AWS account, al proprietario del bucket viene addebitato l'accesso ai dati se il ruolo appartiene allo stesso account del proprietario del bucket.

Puoi utilizzare la AWS Lake Formation console, l'API Lake Formation o AWS Command Line Interface (AWS CLI) per registrare una sede Amazon S3.

Prima di iniziare

Rivedi i requisiti per il ruolo utilizzato per registrare la sede.

Per registrare una posizione (console)
Importante

Le seguenti procedure presuppongono che la posizione Amazon S3 si trovi nello stesso AWS account del Data Catalog e che i dati in essa contenuti non siano crittografati. Altre sezioni di questo capitolo riguardano la registrazione tra account e la registrazione di posizioni crittografate.

  1. Apri la AWS Lake Formation console all'indirizzo https://console.aws.amazon.com/lakeformation/. Accedi come amministratore del data lake o come utente con l'autorizzazione lakeformation:RegisterResource IAM.

  2. Nel riquadro di navigazione, in Amministrazione, seleziona Data lake locations.

  3. Scegli Registra posizione, quindi scegli Sfoglia per selezionare un percorso Amazon Simple Storage Service (Amazon S3).

  4. (Facoltativo, ma fortemente consigliato) Seleziona Rivedi le autorizzazioni della posizione per visualizzare un elenco di tutte le risorse esistenti nella posizione Amazon S3 selezionata e le relative autorizzazioni.

    La registrazione della località selezionata potrebbe consentire agli utenti di Lake Formation di accedere ai dati già presenti in quella posizione. La visualizzazione di questo elenco ti aiuta a garantire che i dati esistenti rimangano sicuri.

  5. Per il ruolo IAM, scegli il ruolo AWSServiceRoleForLakeFormationDataAccess collegato al servizio (predefinito) o un ruolo IAM personalizzato che soddisfi i requisiti di. Requisiti per i ruoli utilizzati per registrare le sedi

    Puoi aggiornare una posizione registrata o altri dettagli solo quando la registri utilizzando un ruolo IAM personalizzato. Per modificare una sede registrata utilizzando un ruolo collegato al servizio, è necessario annullare la registrazione della posizione e registrarla nuovamente.

  6. Scegli l'opzione Enable Data Catalog Federation per consentire a Lake Formation di assumere un ruolo e vendere credenziali temporanee ai AWS servizi integrati per accedere alle tabelle nei database federati. Se una posizione è registrata con Lake Formation e desideri utilizzare la stessa posizione per una tabella in un database federato, devi registrare la stessa posizione con l'opzione Enable Data Catalog Federation.

  7. Scegli la modalità di accesso ibrida per non abilitare le autorizzazioni di Lake Formation per impostazione predefinita. Quando registri una posizione Amazon S3 in modalità di accesso ibrido, puoi abilitare le autorizzazioni Lake Formation optando per i principali database e tabelle in quella posizione.


    Per ulteriori informazioni sulla configurazione della modalità di accesso ibrida, consulta. Modalità di accesso ibrida

  8. Seleziona Registra posizione.

Per registrare una sede (AWS CLI)
  1. Registra una nuova sede con Lake Formation

    Questo esempio utilizza un ruolo collegato al servizio per registrare la posizione. È possibile utilizzare l'--role-arnargomento invece per fornire il proprio ruolo.

    <s3-path>Sostituiscilo con un percorso Amazon S3 valido, un numero di account con un AWS account valido e <s3-access-role>con un ruolo IAM che dispone delle autorizzazioni per registrare una posizione dati.

    Nota

    Non puoi modificare le proprietà di una posizione registrata se è registrata utilizzando un ruolo collegato al servizio.

    aws lakeformation register-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --use-service-linked-role

    L'esempio seguente utilizza un ruolo personalizzato per registrare la posizione.

    aws lakeformation register-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role>
  2. Per aggiornare una località registrata con Lake Formation

    Puoi modificare una sede registrata solo se è registrata utilizzando un ruolo IAM personalizzato. Per una sede registrata con un ruolo collegato al servizio, è necessario annullare la registrazione della posizione e registrarla nuovamente. Per ulteriori informazioni, consulta Annullamento della registrazione di una sede Amazon S3.

    aws lakeformation update-resource \ --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role>\ --resource-arn arn:aws:s3:::<s3-path>
    aws lakeformation update-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --use-service-linked-role
  3. Registra una posizione dati in modalità di accesso ibrida con federazione
    aws lakeformation register-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role> \ --hybrid-access-enabled
    aws lakeformation register-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role> \ --with-federation
    aws lakeformation update-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role> \ --hybrid-access-enabled

Per ulteriori informazioni, consulta Funzionamento RegisterResourcedelle API.

Nota

Dopo aver registrato una posizione Amazon S3, qualsiasi AWS Glue tabella che punta alla posizione (o a una delle sue sedi secondarie) restituirà il valore del IsRegisteredWithLakeFormation parametro come true nella chiamata. GetTable È noto che le operazioni dell'API Data Catalog, come GetTables e SearchTables non, aggiornano il valore del IsRegisteredWithLakeFormation parametro e restituiscono il valore predefinito, che è falso. Si consiglia di utilizzare l'GetTableAPI per visualizzare il valore corretto del IsRegisteredWithLakeFormation parametro.