Verifique permissões do Lake Formation Proteja os recursos existentes do catálogo de dados Ative as permissões do Lake Formation para sua localização no Amazon S3

Etapa 4: mude seus armazenamentos de dados para o modelo de permissões do Lake Formation

Atualize para as permissões do Lake Formation, um local de dados por vez. Para isso, repita essa seção inteira até ter registrado todos os caminhos do Amazon Simple Storage Service (Amazon S3) referenciados pelo catálogo de dados.

Tópicos

Verifique permissões do Lake Formation
Proteja os recursos existentes do catálogo de dados
Ative as permissões do Lake Formation para sua localização no Amazon S3

Verifique permissões do Lake Formation

Antes de registrar um local, execute uma etapa de verificação para garantir que as entidades principais corretas tenham as permissões necessárias para o Lake Formation e que nenhuma permissão para o Lake Formation seja concedida às entidades principais que não deveriam tê-las. Ao usar a operação da API GetEffectivePermissionsForPath do Lake Formation, identifique os recursos do catálogo de dados que fazem referência à localização do Amazon S3, junto com as entidades principais que têm permissões sobre esses recursos.

O AWS CLI exemplo a seguir retorna os bancos de dados e tabelas do catálogo de dados que fazem referência ao bucket do Amazon S3. products


aws lakeformation get-effective-permissions-for-path --resource-arn arn:aws:s3:::products --profile datalake_admin

Observe a opção profile. Recomendamos que você execute o comando como administrador do data lake.

A seguir está um trecho dos resultados retornados.


{
        "PermissionsWithGrantOption": [
            "SELECT"
        ],
        "Resource": {
            "TableWithColumns": {
                "Name": "inventory_product",
                "ColumnWildcard": {},
                "DatabaseName": "inventory"
            }
        },
        "Permissions": [
            "SELECT"
        ],
        "Principal": {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1",
            "DataLakePrincipalType": "IAM_USER"
        }
 },...

Importante

Se o catálogo de dados do AWS Glue estiver criptografado, GetEffectivePermissionsForPath retornará somente bancos de dados e tabelas que foram criados ou modificados após a disponibilidade geral do Lake Formation.

Proteja os recursos existentes do catálogo de dados

Em seguida, revogue a permissão Super de cada tabela e banco de dados IAMAllowedPrincipals que você identificou para o local.

Atenção

Se você tiver uma automação que cria bancos de dados e tabelas no catálogo de dados, as etapas a seguir podem fazer com que as tarefas de automação e extração, transformação e carregamento (ETL) posteriores falhem. Prossiga somente depois de modificar seus processos existentes ou conceder permissões explícitas do Lake Formation às entidades principais necessárias. Para obter informações sobre as permissões do Lake Formation, consulte Referência de permissões do Lake Formation.

Para revogar `Super` de `IAMAllowedPrincipals` em uma tabela

Abra o AWS Lake Formation console em https://console.aws.amazon.com/lakeformation/. Faça login como administrador de data lake.
No painel de navegação, selecione Tabelas.
Na página Tabelas, selecione o botão de opção ao lado da tabela desejada.
No menu Ações, selecione Revogar.
Na caixa de diálogo Revogar permissões, na lista de usuários e funções do IAM, role para baixo até o título Grupo e escolha IAM AllowedPrincipals.
Em Permissões da tabela, verifique se a opção Super está selecionada e escolha Revogar.

Para revogar `Super` de `IAMAllowedPrincipals` em um banco de dados

Abra o AWS Lake Formation console em https://console.aws.amazon.com/lakeformation/. Faça login como administrador de data lake.
No painel de navegação, escolha Bancos de dados.
Na página Banco de dados, selecione o botão de opção ao lado do banco de dados desejado.
No menu Ações, escolha Editar.
Na página Editar banco de dados, desmarque Usar somente o controle de acesso do IAM para novas tabelas nesse banco de dados e escolha Salvar.
De volta à página Banco de dados, verifique se o banco de dados ainda está selecionado e, no menu Ações, escolha Revogar.
Na caixa de diálogo Revogar permissões, na lista de usuários e funções do IAM, role para baixo até o título Grupo e escolha IAM AllowedPrincipals.
Em Permissões de banco de dados, verifique se a opção Super está selecionada e escolha Revogar.

Ative as permissões do Lake Formation para sua localização no Amazon S3

Em seguida, registre o local do Amazon S3 com o Lake Formation. Para isso, você pode usar o processo descrito em Adicionar uma localização do Amazon S3 ao seu data lake. Ou utilize a operação da API RegisterResource, conforme descrito em APIs de fornecimento de credenciais.

nota

Se o local pai estiver registrado, você não precisa registrar locais filho.

Depois de concluir essas etapas e testar se seus usuários podem acessar seus dados, você atualizou com sucesso para as permissões do Lake Formation. Continue na próxima etapa, Etapa 5: proteja os novos recursos do catálogo de dados.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Etapa 3: dar permissões do IAM

Etapa 5: proteja os novos recursos do catálogo de dados