Inserimento e concessione dell'accesso - AWS Guida prescrittiva
Produttori di dati di onboardingOnboarding dei consumatori di datiConcedi l'accesso a Select in un account di consumo di dati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Inserimento e concessione dell'accesso

L'architettura di riferimento del data lake di questa guida ti aiuta a scalare in modo indipendente i produttori di dati e i consumatori di dati, oltre a definire e stabilire un processo coerente per l'onboarding e la concessione dell'accesso a tali consumatori di dati.

Le sezioni seguenti descrivono il processo di onboarding per i produttori di dati e i consumatori di dati e come concedere l'accesso a un account di consumatori di dati. Questa guida utilizza il metodo delle risorse denominate tra il catalogo centralizzato e i consumatori di dati. Il processo per il metodo LF-TBAC è simile ma leggermente diverso. Ti consigliamo di valutare e configurare questi approcci per soddisfare le pratiche e le politiche di governance dei dati della tua organizzazione.

Per ulteriori informazioni su questi due metodi, consulta la Catalogo centralizzato sezione di questa guida.

Produttori di dati di onboarding

Il diagramma seguente mostra come integrare un nuovo produttore di dati nel tuo data lake.

Il processo per l'onboarding di un nuovo produttore di dati in un data lake.

Il diagramma mostra il seguente processo di onboarding:

  1. Il produttore di dati fornisce selettivamente al catalogo centralizzato l'accesso ai suoi dati (ad esempio, un bucket Amazon Simple Storage Service (Amazon S3) e). AWS KMS key Viene fornito l'accesso ai principali del catalogo centralizzato AWS Identity and Access Management (IAM) per registrare la posizione del data lake del produttore di dati AWS Lake Formation e ai principali IAM utilizzati per gestire il catalogo del produttore di dati.

  2. Registra la posizione del data lake del produttore di dati (ad esempio, un bucket S3) che utilizza il Lake Formation del catalogo centralizzato.

  3. Crea il database, le tabelle e gli schemi di tabelle per i nuovi dati dal produttore di dati nel Data Catalog. AWS Glue

Onboarding dei consumatori di dati

Il diagramma seguente mostra come effettuare l'onboarding di un nuovo data consumer nel tuo data lake.

Il processo di onboarding di un nuovo data consumer nel tuo data lake.

Il diagramma mostra il seguente processo di onboarding:

  1. Il data consumer richiede l'approvazione per visualizzare i dati del produttore di dati e specifica i dati a cui deve accedere.

  2. L'amministratore dei dati del produttore di dati esamina la richiesta del consumatore di dati e valuta se:

    • Condividi alcune o tutte le tabelle nei database richiesti. Consigliamo la condivisione a livello di database quando la condivisione di tutte le tabelle con il data consumer non comporta implicazioni sulla sicurezza dei dati, in modo da evitare il sovraccarico di gestione derivante dalla condivisione a livello di tabella.

    • Condividi i dati a livello di organizzazione, unità organizzativa o account del consumatore di dati.

  3. Una volta approvate dal produttore dei dati, le risorse del Data Catalog richieste vengono condivise con l'utente dei dati nel catalogo centralizzato.

  4. I collegamenti alle risorse possono essere creati nell'account del consumatore di dati utilizzando Lake Formation e quindi puntano alle risorse condivise del Data Catalog nel catalogo centralizzato.

Una volta completato il processo di onboarding, l'amministratore di Lake Formation del data consumer può visualizzare la risorsa del catalogo del database dal catalogo centralizzato e il collegamento alla risorsa. In questa fase, nessun altro utente dell'account del consumatore di dati può accedere ai dati del produttore di dati.

Concedi l'accesso a Select in un account di consumo di dati

Il diagramma seguente mostra il processo per concedere Selectl'accesso a risorse di dati condivise con un responsabile IAM locale nell'account Data Consumer. Il principale IAM locale può essere il ruolo IAM per singoli utenti o un ruolo IAM utilizzato da servizi specifici AWS .

Nota

Quando i dati condivisi hanno una bassa sensibilità, puoi delegare la concessione dell'accesso allo stesso consumatore di dati senza richiedere l'approvazione del produttore dei dati. Questo perché la fiducia e la condivisione sono già stabilite tra di loro.

Il processo per concedere l'accesso a Select in un account consumer di dati.

Il diagramma mostra il seguente processo:

  1. Il singolo responsabile IAM nell'account Data Consumer richiede Select l'accesso al link delle risorse al responsabile IAM presente nell'account Data Consumer.

  2. L'amministratore dei dati del produttore di dati esamina la richiesta del consumatore di dati e fornisce l'approvazione se tutti i requisiti sono soddisfatti.

  3. Selectl'accesso è concesso e ciò consente al responsabile IAM di utilizzare i dati richiesti.