Prerequisiti Creazione di visualizzazioni Concessione di autorizzazioni

Utilizzo delle visualizzazioni

Questa caratteristica è in versione di anteprima ed è soggetta a modifica. Per ulteriori informazioni, consulta la sezione Beta e anteprime nel documento Termini del servizio AWS

In AWS Glue Data Catalog, una vista è una tabella virtuale in cui i contenuti sono definiti da una query che fa riferimento a una o più tabelle. Puoi creare una vista che faccia riferimento a un massimo di 10 tabelle utilizzando editor SQL per Amazon Athena, Amazon Redshift o Amazon EMR. Le tabelle di riferimento sottostanti per una vista possono appartenere allo stesso database o a database diversi all'interno dello stesso. Account AWS

SQL è un linguaggio di programmazione utilizzato per l'interrogazione delle tabelle e ogni motore AWS analitico utilizza la propria variante di SQL, o dialetto SQL. Il Data Catalog supporta la creazione di viste utilizzando dialetti SQL diversi, purché ogni dialetto faccia riferimento allo stesso set di tabelle, colonne e tipi di dati. Definendo uno schema di visualizzazione e un oggetto di metadati comuni che è possibile interrogare da più motori, le viste del catalogo dati consentono di utilizzare viste uniformi in tutto il data lake.

Quando gestisci le viste nel Data Catalog, puoi utilizzarle AWS Lake Formation per concedere autorizzazioni granulari tramite il metodo delle risorse denominate o utilizzando i tag LF e condividerle tra Account AWS organizzazioni e unità organizzative. AWS Puoi anche condividere le viste del Data Catalog tra di loro. Regioni AWS Ciò consente agli utenti di fornire l'accesso ai dati Regioni AWS senza duplicare la fonte dei dati.

Per ulteriori informazioni sulla condivisione dei dati tra account e sull'accesso ai dati tra diverse regioni, consulta:

Puoi utilizzare le viste del catalogo dati per:

Creare e gestire le autorizzazioni su uno schema a visualizzazione singola. Questo ti aiuta a evitare il rischio di autorizzazioni incoerenti su viste duplicate create in più motori.
Concedi le autorizzazioni agli utenti per una vista che fa riferimento a più tabelle senza concedere le autorizzazioni direttamente sulle tabelle di riferimento sottostanti.

Per le limitazioni, vedere Data Catalog visualizza, considerazioni e limitazioni

Argomenti

Prerequisiti per la creazione di viste
Creazione di visualizzazioni
Concessione delle autorizzazioni per le visualizzazioni del Data Catalog

Prerequisiti per la creazione di viste

Per creare viste in Data Catalog, devi registrare le posizioni dei dati Amazon S3 sottostanti delle tabelle di riferimento con Lake Formation.

Per i dettagli sulla registrazione dei dati con Lake Formation, vedereAggiungere una posizione Amazon S3 al tuo data lake.
Il view definer deve essere un ruolo IAM. Le altre identità IAM non possono creare viste del Data Catalog.

Il ruolo IAM che definisce la vista deve disporre delle seguenti autorizzazioni:

SELECTAutorizzazione completa di Lake Formation con Grantable opzione su tutte le tabelle di riferimento.

Una politica di fiducia affinché Lake Formation e AWS Glue i servizi assumano il ruolo.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DataCatalogViewDefinerAssumeRole1",
            "Effect": "Allow",
            "Principal": {
               "Service": [
                    "glue.amazonaws.com",
                    "lakeformation.amazonaws.com"
                 ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Lo scopo: PassRole autorizzazione per AWS Glue e Lake Formation.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DataCatalogViewDefinerPassRole1",
            "Action": [
                "iam:PassRole"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [ 
                        "glue.amazonaws.com",
                        "lakeformation.amazonaws.com"
                      ]
                }
            }
        }
    ]
}

AWS Glue e autorizzazioni Lake Formation.


{
    "Version": "2012-10-17",
                 "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "Glue:GetDatabase",
                "Glue:GetDatabases",
                "Glue:CreateTable",
                "Glue:GetTable",
                "Glue:UpdateTable",
                "Glue:DeleteTable",
                "Glue:GetTables",
                "Glue:SearchTables",
                "Glue:BatchGetPartition",
                "Glue:GetPartitions",
                "Glue:GetPartition",
                "Glue:GetTableVersion",
                "Glue:GetTableVersions",
                "lakeFormation:GetDataAccess",
                "lakeFormation:GetTemporaryTableCredentials",
                "lakeFormation:GetTemporaryGlueTableCredentials",
                "lakeFormation:GetTemporaryUserCredentialsWithSAML"
            ],
            "Resource": "*"
        }
    ]   
}

Non è possibile creare viste se il database in cui viene creata la vista dispone Super o ha l'ALLautorizzazione concessa al IAMAllowedPrincipals gruppo. Per revocare l'Superautorizzazione di un IAMAllowedPrincipals gruppo su un database, consulta. Passaggio 4: Passa i tuoi archivi dati al modello di autorizzazioni Lake Formation

Se le impostazioni del data lake esistenti non ti consentono di impostare il valore CreateTableDefaultPermissions vuoto per il IAMAllowedPrincipals gruppo, puoi creare un nuovo database e codificare l'impostazione del data lake utilizzando la seguente struttura.
```
{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ],
        CreateTableDefaultPermissions": [
            {
                "Principal": {
                    "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"
                },
                "Permissions": []
            }
        ]
 }           
```

Creazione di visualizzazioni

Puoi utilizzare gli editor SQL per Athena, Amazon Redshift o Amazon EMR per creare viste in. AWS Glue Data Catalog

Per ulteriori informazioni sulla sintassi per la creazione e la gestione delle viste del catalogo dati, consulta:

Utilizzo delle AWS Glue Data Catalog visualizzazioni nella Guida per l'utente di Amazon Athena.
Creazione di viste AWS Glue Data Catalog nella Amazon Redshift Database Developer Guide.
Utilizzo delle AWS Glue Data Catalog visualizzazioni nella Amazon EMR Management Guide.

Dopo aver creato una vista Data Catalog, i dettagli della vista nella console Lake Formation.

Scegli Views in Data Catalog nella console Lake Formation.
Nella pagina delle visualizzazioni viene visualizzato un elenco delle viste disponibili.
Scegliete una vista dall'elenco e la pagina dei dettagli mostra gli attributi della vista.

La sezione inferiore contiene cinque schede disposte orizzontalmente, in cui ogni scheda include le informazioni corrispondenti.

Schema: Scegliete una Column riga e selezionate Modifica tag LF per aggiornare i valori dei tag o assegnare nuovi tag LF.
Definizioni SQL: È possibile visualizzare un elenco di definizioni SQL disponibili. Seleziona Aggiungi definizione SQL e scegli un motore di query per aggiungere una definizione SQL. Scegli un motore di query (Athena o Amazon Redshift) Edit definition sotto la colonna per aggiornare le definizioni SQL.
Tag LF: Scegliete Modifica tag LF per modificare i valori di un tag o assegnare nuovi tag. È possibile utilizzare i tag LF per concedere autorizzazioni sulle viste.
Accesso multi-account: Puoi visualizzare un elenco di Account AWS organizzazioni e unità organizzative (OU) con cui hai condiviso la vista del catalogo dati.
Tabelle sottostanti: Le tabelle sottostanti a cui si fa riferimento nella definizione SQL utilizzata per creare la vista sono mostrate in questa scheda.

Concessione delle autorizzazioni per le visualizzazioni del Data Catalog

Dopo aver creato le viste, puoi concedere le autorizzazioni del data lake sulle viste ai responsabili di tutte Account AWS le organizzazioni e le unità organizzative. Per ulteriori informazioni sulla concessione delle autorizzazioni, consulta. Concessione delle autorizzazioni sulle viste utilizzando il metodo di risorsa denominato

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Condivisione di tabelle e database di Data Catalog tra account

Importazione di dati tramite flussi di lavoro