Verifica le autorizzazioni di Lake Formation Proteggi le risorse del Data Catalog esistenti Attiva le autorizzazioni di Lake Formation per la tua sede Amazon S3

Passaggio 4: Passa i tuoi archivi dati al modello di autorizzazioni Lake Formation

Passa alle autorizzazioni di Lake Formation una posizione dati alla volta. A tale scopo, ripeti l'intera sezione fino a registrare tutti i percorsi di Amazon Simple Storage Service (Amazon S3) a cui fa riferimento il tuo Data Catalog.

Argomenti

Verifica le autorizzazioni di Lake Formation
Proteggi le risorse del Data Catalog esistenti
Attiva le autorizzazioni di Lake Formation per la tua sede Amazon S3

Verifica le autorizzazioni di Lake Formation

Prima di registrare una sede, esegui una procedura di verifica per assicurarti che i mandanti corretti dispongano delle autorizzazioni Lake Formation richieste e che non vengano concesse autorizzazioni Lake Formation ai mandanti che non dovrebbero averle. Utilizzando l'operazione GetEffectivePermissionsForPath API Lake Formation, identifica le risorse del Data Catalog che fanno riferimento alla posizione Amazon S3, insieme ai responsabili che dispongono delle autorizzazioni su tali risorse.

L' AWS CLI esempio seguente restituisce i database e le tabelle del catalogo dati che fanno riferimento al bucket Amazon S3. products


aws lakeformation get-effective-permissions-for-path --resource-arn arn:aws:s3:::products --profile datalake_admin

Nota l'opzione. profile Ti consigliamo di eseguire il comando come amministratore del data lake.

Di seguito è riportato un estratto dei risultati restituiti.


{
        "PermissionsWithGrantOption": [
            "SELECT"
        ],
        "Resource": {
            "TableWithColumns": {
                "Name": "inventory_product",
                "ColumnWildcard": {},
                "DatabaseName": "inventory"
            }
        },
        "Permissions": [
            "SELECT"
        ],
        "Principal": {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1",
            "DataLakePrincipalType": "IAM_USER"
        }
 },...

Importante

Se il tuo AWS Glue Data Catalog è crittografato, GetEffectivePermissionsForPath restituisce solo database e tabelle che sono stati creati o modificati dopo la disponibilità generale di Lake Formation.

Proteggi le risorse del Data Catalog esistenti

Successivamente, revoca l'Superautorizzazione da IAMAllowedPrincipals ogni tabella e database che hai identificato per la posizione.

avvertimento

Se disponi di un'automazione che crea database e tabelle nel Data Catalog, i passaggi seguenti potrebbero causare il fallimento dei processi di automazione e di estrazione, trasformazione e caricamento (ETL) a valle. Procedi solo dopo aver modificato i processi esistenti o concesso autorizzazioni esplicite di Lake Formation ai responsabili richiesti. Per informazioni sulle autorizzazioni di Lake Formation, vedereRiferimento alle autorizzazioni di Lake Formation.

Per revocare `Super` da un tavolo `IAMAllowedPrincipals`

Apri la AWS Lake Formation console all'indirizzo https://console.aws.amazon.com/lakeformation/. Accedi come amministratore del data lake.
Nel pannello di navigazione, seleziona Tabelle.
Nella pagina Tabelle, seleziona il pulsante di opzione accanto alla tabella desiderata.
Nel menu Azioni, scegli Revoca.
Nella finestra di dialogo Revoca le autorizzazioni, nell'elenco Utenti e ruoli IAM, scorri verso il basso fino all'intestazione Gruppo e scegli IAM. AllowedPrincipals
Nella sezione Autorizzazioni della tabella, assicurati che Super sia selezionato, quindi scegli Revoke.

Per effettuare una revoca da `Super` un database `IAMAllowedPrincipals`

Apri la AWS Lake Formation console all'indirizzo https://console.aws.amazon.com/lakeformation/. Accedi come amministratore del data lake.
Nel riquadro di navigazione, scegli Databases (Database).
Nella pagina Database, seleziona il pulsante di opzione accanto al database desiderato.
Nel menu Operazioni, scegliere Modifica.
Nella pagina Modifica database, deseleziona Usa solo il controllo di accesso IAM per le nuove tabelle in questo database, quindi scegli Salva.
Tornando alla pagina Database, assicurati che il database sia ancora selezionato, quindi nel menu Azioni, scegli Revoca.
Nella finestra di dialogo Revoca le autorizzazioni, nell'elenco Utenti e ruoli IAM, scorri verso il basso fino all'intestazione Gruppo e scegli IAM. AllowedPrincipals
In Autorizzazioni del database, assicurati che Super sia selezionato, quindi scegli Revoke.

Attiva le autorizzazioni di Lake Formation per la tua sede Amazon S3

Quindi, registra la sede Amazon S3 con Lake Formation. A tale scopo, puoi utilizzare la procedura descritta inAggiungere una posizione Amazon S3 al tuo data lake. In alternativa, utilizzate l'operazione RegisterResource API come descritto inAPI di vendita di credenziali.

Nota

Se la sede di un genitore è registrata, non è necessario registrare le sedi dei figli.

Dopo aver completato questi passaggi e aver verificato che i tuoi utenti possano accedere ai propri dati, hai eseguito con successo l'upgrade alle autorizzazioni di Lake Formation. Continua con il passaggio successivo,. Fase 5: Proteggi le nuove risorse del Data Catalog

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Passaggio 3: concedere agli utenti le autorizzazioni IAM

Fase 5: Proteggi le nuove risorse del Data Catalog