Registrazione di un motore di query di terze parti - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrazione di un motore di query di terze parti

Prima che un motore di query di terze parti possa utilizzare le operazioni dell'API di integrazione delle applicazioni, devi abilitare esplicitamente le autorizzazioni affinché il motore di query chiami le operazioni API per tuo conto. Questa operazione viene eseguita in pochi passaggi:

  1. È necessario specificare AWS gli account e i tag di sessione IAM che richiedono l'autorizzazione a chiamare le operazioni dell'API di integrazione delle applicazioni tramite la AWS Lake Formation console AWS CLI o l'API/SDK.

  2. Quando il motore di query di terze parti assume il ruolo di esecuzione nel tuo account, il motore di query deve allegare un tag di sessione registrato presso Lake Formation che rappresenta il motore di terze parti. Lake Formationutilizza questo tag per verificare che la richiesta provenga da un motore approvato. Per ulteriori informazioni sui tag di sessione, consulta Tag di sessione nella Guida per l'utente IAM.

  3. Quando si configura un ruolo di esecuzione di un motore di query di terze parti, è necessario disporre del seguente set minimo di autorizzazioni nella policy IAM:

    { "Version": "2012-10-17", "Statement": {"Effect": "Allow", "Action": [ "lakeformation:GetDataAccess", "glue:GetTable", "glue:GetTables", "glue:GetDatabase", "glue:GetDatabases", "glue:CreateDatabase", "glue:GetUserDefinedFunction", "glue:GetUserDefinedFunctions", "glue:GetPartition", "glue:GetPartitions" ], "Resource": "*" } }
  4. Imposta una policy di affidabilità dei ruoli sul ruolo di esecuzione del motore di query per avere un controllo di accesso preciso su quale coppia chiave-valore del tag di sessione può essere associata a questo ruolo. Nell'esempio seguente, a questo ruolo è consentito associare solo la chiave del tag di sessione "LakeFormationAuthorizedCaller" e il valore "engine1" del tag di sessione e non è consentita nessun'altra coppia di valori chiave del tag di sessione.

    { "Sid": "AllowPassSessionTags", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/query-execution-role" }, "Action": "sts:TagSession", "Condition": { "StringLike": { "aws:RequestTag/LakeFormationAuthorizedCaller": "engine1" } } }

Quando si LakeFormationAuthorizedCaller chiama l'operazione STS: AssumeRole API per recuperare le credenziali da utilizzare dal motore di query, il tag di sessione deve essere incluso nella AssumeRole richiesta. La credenziale temporanea restituita può essere utilizzata per effettuare richieste API di integrazione Lake Formation delle applicazioni.

Lake FormationLe operazioni dell'API di integrazione delle applicazioni richiedono che il principale chiamante sia un ruolo IAM. Il ruolo IAM deve includere un tag di sessione con un valore predeterminato che è stato registrato conLake Formation. Questo tag consente di Lake Formation verificare che il ruolo utilizzato per chiamare le operazioni dell'API di integrazione delle applicazioni sia autorizzato a farlo.