本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置 Lake Formation 以供使用 HealthOmics
在使用 Lake Formation 管理 HealthOmics 数据存储之前,请执行以下 Lake Formation 配置过程。
创建或验证 Lake Formation 管理员
在 Lake Formation 中创建数据湖之前,需要先定义一个或多个管理员。
管理员是有权创建资源链接的用户和角色。您可以为每个区域的每个账户设置数据湖管理员。
在 Lake Formation 控制台中创建管理员用户
-
打开 AWS Lake Formation 控制台:Lake Formation 控制台
-
如果控制台显示 “欢迎来到 Lake Formation” 面板,请选择 “开始”。
Lake Formation 会将您添加到数据湖管理员表中。
-
否则,请从左侧菜单中选择 “管理角色和任务”。
-
根据需要添加任何其他管理员。
使用 Lake Formation 控制台创建资源链接
要创建用户可以查询的共享资源,必须禁用默认访问控制。要了解有关禁用默认访问控制的更多信息,请参阅 Lake Formation 文档中的更改数据湖的默认安全设置。您可以单独创建资源链接,也可以成组创建资源链接,这样您就可以访问 Amazon Athena AWS 或其他服务(例如 Amazon EMR)中的数据。
在 AWS Lake Formation 控制台中创建资源链接并与 HealthOmics Analytics 用户共享
-
打开 AWS Lake Formation 控制台:Lake Formation 控制台
-
在主导航栏中,选择数据库。
-
在 “数据库” 表中,选择所需的数据库。
-
从 “创建” 菜单中选择 “资源链接”。
-
输入资源链接名称。如果您计划从 Athena 访问数据库,请仅使用小写字母(最多 256 个字符)输入名称。
-
选择创建。
-
新的资源链接现在列在 “数据库” 下。
使用 Lake Formation 控制台授予对共享资源的访问权限
Lake Formation 数据库管理员可以使用以下步骤授予对共享资源的访问权限。
-
打开 AWS Lake Formation 控制台:https://console.aws.amazon.com/lakeformation/
-
在主导航栏中,选择数据库。
-
在 “数据库” 页面上,选择您之前创建的资源链接。
-
从 “操作” 菜单中选择 “授予目标”。
-
在委托人下的授予数据权限页面上,选择 IAM 用户或角色。
-
从 IAM 用户或角色下拉菜单中,找到您要向其授予访问权限的用户。
-
接下来,在 LF-Tags 或目录资源卡下,选择命名数据目录资源选项。
-
从 “表格可选” 下拉菜单中,选择 “所有表” 或之前创建的表。
-
在 “表权限” 卡片中,在 “表权限” 下选择 “描述并选择”。
-
接下来,选择授权。
要查看 Lake Formation 权限,请从主导航窗格中选择数据湖权限。该表显示了可用的数据库和资源链接。
为 AWS RAM 资源共享配置权限
在 AWS Lake Formation 控制台中,通过在主导航栏中选择数据湖权限来查看权限。在数据权限页面上,您可以查看一个表,其中显示了资源类型、数据库以及ARN与 RAM 资源共享下的共享资源相关的资源。如果您需要接受 AWS Resource Access Manager (AWS RAM) 资源共享,则会在控制台中 AWS Lake Formation 通知您。
HealthOmics 可以在商店创建期间隐式接受 AWS RAM 资源共享。要接受 AWS RAM 资源共享,调用或 CreateAnnotationStore API 操作的 IAM 用户CreateVariantStore或角色必须允许以下操作:
-
ram:GetResourceShareInvitations-此操作 HealthOmics 允许查找邀请。 -
ram:AcceptResourceShareInvitation-此操作 HealthOmics 允许使用 FAS 令牌接受邀请。
如果没有这些权限,您将在商店创建过程中看到授权错误。
以下是包含这些操作的策略示例。将此策略添加到接受 AWS RAM 资源共享的 IAM 用户或角色。
