Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione dell'accesso alle query per gli abbonati a Security Lake
Gli abbonati con accesso alle query possono interrogare i dati raccolti da Security Lake. Questi abbonati interrogano direttamente AWS Lake Formation le tabelle nel tuo bucket S3 con servizi come Amazon Athena. Sebbene il motore di query principale per Security Lake sia Athena, puoi utilizzare anche altri servizi, come Amazon Redshift Spectrum e Spark SQL, che si integrano con. AWS Glue Data Catalog
Nota
Questa sezione spiega come concedere l'accesso alle query a un abbonato di terze parti. Per informazioni sull'esecuzione di query sul tuo data lake, consulta. Passaggio 4: Visualizza e interroga i tuoi dati
Prerequisiti per la creazione di un sottoscrittore con accesso alle query
È necessario completare i seguenti prerequisiti prima di poter creare un abbonato con accesso ai dati in Security Lake.
Argomenti
Verificare le autorizzazioni
Prima di creare un abbonato con accesso tramite query, verificate di disporre dell'autorizzazione per eseguire il seguente elenco di azioni.
Per verificare le tue autorizzazioni, usa IAM per esaminare le policy IAM allegate alla tua identità IAM. Quindi, confronta le informazioni contenute in tali policy con il seguente elenco di azioni che devi essere autorizzato a eseguire per creare un abbonato con accesso tramite query.
-
iam:CreateRole
-
iam:DeleteRolePolicy
-
iam:GetRole
-
iam:PutRolePolicy
-
lakeformation:GrantPermissions
-
lakeformation:ListPermissions
-
lakeformation:RegisterResource
-
lakeformation:RevokePermissions
-
ram:GetResourceShareAssociations
-
ram:GetResourceShares
-
ram:UpdateResourceShare
Importante
Dopo aver verificato le autorizzazioni:
Se prevedi di utilizzare la console Security Lake per aggiungere un abbonato con accesso alle query, puoi saltare il passaggio successivo e procedere con. Concedi le autorizzazioni di amministratore di Lake Formation Security Lake crea tutti i ruoli IAM necessari o utilizza i ruoli esistenti per tuo conto.
Se prevedi di utilizzare l'API o la CLI di Security Lake per aggiungere un sottoscrittore con accesso alle query, continua con il passaggio successivo per creare un ruolo IAM per interrogare i dati di Security Lake.
Crea un ruolo IAM per interrogare i dati di Security Lake (API e fase solo AWS CLI)
Quando si utilizza l'API Security Lake o AWS CLI si concede l'accesso alle query a un abbonato, è necessario creare un ruolo denominato. AmazonSecurityLakeMetaStoreManager
Security Lake utilizza questo ruolo per registrare le AWS Glue partizioni e aggiornare AWS Glue le tabelle. Potresti aver già creato questo ruolo durante la creazione dei ruoli IAM necessari.
Concedi le autorizzazioni di amministratore di Lake Formation
Dovrai anche aggiungere le autorizzazioni di amministratore di Lake Formation al ruolo IAM che usi per accedere alla console di Security Lake e aggiungere abbonati.
Puoi concedere le autorizzazioni di amministratore di Lake Formation per il tuo ruolo seguendo questi passaggi:
Aprire la console Lake Formation all'indirizzo https://console.aws.amazon.com/lakeformation/
. -
Accedi come utente amministrativo.
-
Se viene visualizzata la finestra Welcome to Lake Formation, scegli l'utente che hai creato o selezionato nel Passaggio 1, quindi scegli Inizia.
-
Se non vedi la finestra Welcome to Lake Formation, esegui i seguenti passaggi per configurare un Lake Formation Administrator.
-
Nel pannello di navigazione, in Autorizzazioni, scegli Ruoli e attività amministrative. Nella sezione Amministratori di Data lake, scegli Scegli amministratori.
-
Nella finestra di dialogo Gestisci gli amministratori del data lake, per gli utenti e i ruoli IAM, scegli il ruolo di amministratore utilizzato per accedere alla console di Security Lake, quindi scegli Salva.
-
Per ulteriori informazioni sulla modifica delle autorizzazioni per gli amministratori del data lake, consulta Create a data lake administrator nella Developer Guide.AWS Lake Formation
Il ruolo IAM deve disporre di SELECT
privilegi sul database e sulle tabelle a cui desideri concedere l'accesso a un sottoscrittore. Per istruzioni su come eseguire questa operazione, consulta Concessione delle autorizzazioni di Data Catalog utilizzando il metodo della risorsa denominata nella Guida per gli sviluppatori.AWS Lake Formation
Creazione di un abbonato con accesso tramite query
Scegli il tuo metodo preferito per creare un abbonato con accesso alle query tra quelli correnti. Regione AWS Un sottoscrittore può interrogare i dati solo dai dati in Regione AWS cui è stato creato. Per creare un abbonato, è necessario disporre dell' Account AWS ID e dell'ID esterno dell'abbonato. L'ID esterno è un identificatore univoco che l'abbonato ti fornisce. Per ulteriori informazioni sugli ID esterni, consulta Come utilizzare un ID esterno per concedere l'accesso alle tue AWS risorse a una terza parte nella Guida per l'utente IAM.
Nota
Security Lake non supporta la versione 1 di condivisione dei dati tra account di Lake Formation. È necessario aggiornare la condivisione dei dati tra account di Lake Formation alla versione 2 o alla versione 3. Per i passaggi per aggiornare le impostazioni della versione di Cross Account tramite la AWS Lake Formation console o la AWS CLI, consulta Abilitare la nuova versione nella AWS Lake Formation Developer Guide.
Configurazione della condivisione delle tabelle tra account (fase di sottoscrizione)
Security Lake utilizza la condivisione di tabelle tra account di Lake Formation per supportare l'accesso alle query degli abbonati. Quando si crea un sottoscrittore con accesso alle query nella console, nell'API o nell'API di Security Lake AWS CLI, Security Lake condivide le informazioni sulle tabelle pertinenti di Lake Formation con l'abbonato creando una condivisione di risorse in AWS Resource Access Manager ()AWS RAM.
Quando si apportano determinati tipi di modifiche a un abbonato con accesso tramite query, Security Lake crea una nuova condivisione di risorse. Per ulteriori informazioni, consulta Modifica di un abbonato con accesso tramite interrogazione.
L'abbonato deve seguire questi passaggi per consumare i dati dalle tabelle di Lake Formation:
-
Accetta la condivisione di risorse: il sottoscrittore deve accettare la condivisione di risorse che contiene
resourceShareArn
eresourceShareName
che viene generata quando crei o modifichi il sottoscrittore. Scegli uno dei seguenti metodi di accesso:Per console e AWS CLI, vedi Accettazione di un invito alla condivisione di risorse da AWS RAM.
-
Per l'API, richiama l'GetResourceShareInvitationsAPI. Filtra per
resourceShareArn
eresourceShareName
per trovare la condivisione di risorse corretta. Accetta l'invito con l'AcceptResourceShareInvitationAPI.
L'invito alla condivisione delle risorse scade tra 12 ore, quindi devi convalidarlo e accettarlo entro 12 ore. Se l'invito scade, continui a vederlo in uno
PENDING
stato, ma accettandolo non avrai accesso alle risorse condivise. Trascorse più di 12 ore, elimina l'abbonato Lake Formation e ricrea l'abbonato per ricevere un nuovo invito alla condivisione di risorse. -
Creare un collegamento di risorse alle tabelle condivise: l'abbonato deve creare un collegamento di risorsa alle tabelle condivise di Lake Formation in uno AWS Lake Formation (se utilizza la console) o AWS Glue (se utilizza API/AWS CLI). Questo collegamento alle risorse indirizza l'account dell'abbonato alle tabelle condivise. Scegli uno dei seguenti metodi di accesso:
-
Per console e AWS CLI, consulta Creazione di un collegamento di risorsa a una tabella condivisa del catalogo dati nella Guida per gli AWS Lake Formation sviluppatori.
-
Per l'API, richiama l' AWS Glue CreateTableAPI. Consigliamo agli abbonati di creare anche un database unico con l'CreateDatabaseAPI per archiviare le tabelle dei link alle risorse.
-
-
Interroga le tabelle condivise: servizi come Amazon Athena possono fare riferimento direttamente alle tabelle e i nuovi dati raccolti da Security Lake sono automaticamente disponibili per le query. Le query vengono eseguite presso l'abbonato e i costi sostenuti per esse vengono fatturati all'abbonato. Account AWS Puoi controllare l'accesso in lettura alle risorse nel tuo account Security Lake.
Per ulteriori informazioni sulla concessione delle autorizzazioni su più account, consulta Condivisione dei dati tra account in Lake Formation nella Developer Guide.AWS Lake Formation
Modifica di un abbonato con accesso tramite interrogazione
Security Lake supporta la modifica di un abbonato con accesso tramite query. È possibile modificare il nome, la descrizione, l'ID esterno, il principale (Account AWS ID) dell'abbonato e le fonti di registro che l'abbonato è in grado di utilizzare. Scegli il tuo metodo preferito e segui i passaggi per modificare un abbonato con accesso alle query tra quelli correnti. Regione AWS
Nota
Security Lake non supporta la versione 1 di condivisione dei dati tra account di Lake Formation. È necessario aggiornare la condivisione dei dati tra account di Lake Formation alla versione 2 o alla versione 3. Per i passaggi per aggiornare le impostazioni della versione di Cross Account tramite la AWS Lake Formation console o la AWS CLI, consulta Abilitare la nuova versione nella AWS Lake Formation Developer Guide.