Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Passaggio 4: Passa i tuoi archivi dati al modello di autorizzazioni Lake Formation
Passa alle autorizzazioni di Lake Formation una posizione dati alla volta. A tale scopo, ripeti l'intera sezione fino a registrare tutti i percorsi di Amazon Simple Storage Service (Amazon S3) a cui fa riferimento il tuo Data Catalog.
Argomenti
Verifica le autorizzazioni di Lake Formation
Prima di registrare una sede, esegui una procedura di verifica per assicurarti che i mandanti corretti dispongano delle autorizzazioni Lake Formation richieste e che non vengano concesse autorizzazioni Lake Formation ai mandanti che non dovrebbero averle. Utilizzando l'operazione GetEffectivePermissionsForPath
API Lake Formation, identifica le risorse del Data Catalog che fanno riferimento alla posizione Amazon S3, insieme ai responsabili che dispongono delle autorizzazioni su tali risorse.
L' AWS CLI esempio seguente restituisce i database e le tabelle del catalogo dati che fanno riferimento al bucket Amazon S3. products
aws lakeformation get-effective-permissions-for-path --resource-arn arn:aws:s3:::products --profile datalake_admin
Nota l'opzione. profile
Ti consigliamo di eseguire il comando come amministratore del data lake.
Di seguito è riportato un estratto dei risultati restituiti.
{ "PermissionsWithGrantOption": [ "SELECT" ], "Resource": { "TableWithColumns": { "Name": "inventory_product", "ColumnWildcard": {}, "DatabaseName": "inventory" } }, "Permissions": [ "SELECT" ], "Principal": { "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1", "DataLakePrincipalType": "IAM_USER" } },...
Importante
Se il tuo AWS Glue Data Catalog è crittografato, GetEffectivePermissionsForPath
restituisce solo database e tabelle che sono stati creati o modificati dopo la disponibilità generale di Lake Formation.
Proteggi le risorse del Data Catalog esistenti
Successivamente, revoca l'Super
autorizzazione da IAMAllowedPrincipals
ogni tabella e database che hai identificato per la posizione.
avvertimento
Se disponi di un'automazione che crea database e tabelle nel Data Catalog, i passaggi seguenti potrebbero causare il fallimento dei processi di automazione e di estrazione, trasformazione e caricamento (ETL) a valle. Procedi solo dopo aver modificato i processi esistenti o concesso autorizzazioni esplicite di Lake Formation ai responsabili richiesti. Per informazioni sulle autorizzazioni di Lake Formation, vedereRiferimento alle autorizzazioni di Lake Formation.
Per revocare Super
da un tavolo IAMAllowedPrincipals
-
Apri la AWS Lake Formation console all'indirizzo https://console.aws.amazon.com/lakeformation/.
Accedi come amministratore del data lake. -
Nel pannello di navigazione, seleziona Tabelle.
-
Nella pagina Tabelle, seleziona il pulsante di opzione accanto alla tabella desiderata.
-
Nel menu Azioni, scegli Revoca.
-
Nella finestra di dialogo Revoca le autorizzazioni, nell'elenco Utenti e ruoli IAM, scorri verso il basso fino all'intestazione Gruppo e scegli IAM. AllowedPrincipals
-
Nella sezione Autorizzazioni della tabella, assicurati che Super sia selezionato, quindi scegli Revoke.
Per effettuare una revoca da Super
un database IAMAllowedPrincipals
-
Apri la AWS Lake Formation console all'indirizzo https://console.aws.amazon.com/lakeformation/.
Accedi come amministratore del data lake. -
Nel riquadro di navigazione, scegli Databases (Database).
-
Nella pagina Database, seleziona il pulsante di opzione accanto al database desiderato.
-
Nel menu Operazioni, scegliere Modifica.
-
Nella pagina Modifica database, deseleziona Usa solo il controllo di accesso IAM per le nuove tabelle in questo database, quindi scegli Salva.
-
Tornando alla pagina Database, assicurati che il database sia ancora selezionato, quindi nel menu Azioni, scegli Revoca.
-
Nella finestra di dialogo Revoca le autorizzazioni, nell'elenco Utenti e ruoli IAM, scorri verso il basso fino all'intestazione Gruppo e scegli IAM. AllowedPrincipals
-
In Autorizzazioni del database, assicurati che Super sia selezionato, quindi scegli Revoke.
Attiva le autorizzazioni di Lake Formation per la tua sede Amazon S3
Quindi, registra la sede Amazon S3 con Lake Formation. A tale scopo, puoi utilizzare la procedura descritta inAggiungere una posizione Amazon S3 al tuo data lake. In alternativa, utilizzate l'operazione RegisterResource
API come descritto inAPI di vendita di credenziali.
Nota
Se la sede di un genitore è registrata, non è necessario registrare le sedi dei figli.
Dopo aver completato questi passaggi e aver verificato che i tuoi utenti possano accedere ai propri dati, hai eseguito con successo l'upgrade alle autorizzazioni di Lake Formation. Continua con il passaggio successivo,. Fase 5: Proteggi le nuove risorse del Data Catalog