存取包含 Amazon S3 資料存取的 AWS Data Exchange 資料集 - AWS Data Exchange 使用者指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

存取包含 Amazon S3 資料存取的 AWS Data Exchange 資料集

收件人概觀

AWS Data Exchange for Amazon S3 允許收件人直接從資料擁有者的 Amazon S3 儲存貯體存取第三方資料檔案。

身為收件人,當您有權使用 AWS Data Exchange 適用於 Amazon S3 的 資料集後,您可以使用 Amazon Athena、SageMaker AI Feature Store 或 Amazon EMR AWS 服務 直接在其 Amazon S3 儲存貯體中使用資料擁有者的資料來開始資料分析。

考慮下列各項:

  • 資料擁有者可以選擇在託管所提供資料的 Amazon S3 儲存貯體上啟用申請者付款,這是 Amazon S3 功能。如果啟用,收件人會付費讀取、使用、傳輸、匯出資料,或將資料複製到theirAmazon S3 儲存貯體。如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的使用申請者付款儲存貯體進行儲存傳輸和使用

  • 當您接受 Amazon S3 AWS Data Exchange 資料產品的資料授權時, AWS Data Exchange 會自動佈建 Amazon S3 存取點並更新其資源政策,以授予您唯讀存取權。Amazon S3 存取點是 Amazon S3 的一項功能,可簡化與 Amazon S3 儲存貯體的資料共用。如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的使用 Amazon S3 存取點管理資料存取

  • 在使用 Amazon S3 存取點 Amazon Resource Name (ARN) 或別名存取共用資料之前,您必須更新您的 IAM 許可。您可以驗證目前角色及其相關聯的政策是否允許 GetObject 和 ListBucket 呼叫提供者的 Amazon S3 儲存貯體和 提供的 Amazon S3 存取點 AWS Data Exchange。

下列各節說明在接受資料授予後,使用 AWS Data Exchange 主控台存取 AWS Data Exchange for Amazon S3 資料集的完整程序。

您可以執行查詢來分析就地資料,而無需設定自己的 Amazon S3 儲存貯體、將資料檔案複製到 Amazon S3 儲存貯體,或支付相關聯的儲存費用。您可以存取資料擁有者維護的相同 Amazon S3 物件,讓您使用最新的可用資料。

透過資料授權,您可以執行下列動作:

  • 在不設定個別 Amazon S3 儲存貯體、複製檔案或支付儲存費用的情況下分析資料。

  • 一旦資料擁有者更新,即可存取最新的提供者資料。

檢視資料集、修訂和資產

  1. 開啟您的 Web 瀏覽器並登入 AWS Data Exchange 主控台

  2. 在左側導覽窗格中的我的資料下,選擇有權限的資料集

  3. 具備權限的資料集頁面上,選擇資料集。

  4. 檢視資料集概觀

    注意

    提供的資料會存放在資料擁有者的 Amazon S3 儲存貯體中。存取此資料時,除非擁有者另有指定,否則您將負責請求的成本,以及從擁有者的 Amazon S3 儲存貯體下載的資料。

  5. 開始使用之前,您的角色必須具有 IAM 許可,才能使用您具備權限的 Amazon S3 資料存取。在資料集概觀頁面的 Amazon S3 資料存取索引標籤上,選取驗證 IAM 許可,以判斷您的角色是否具有存取資料的正確許可。

  6. 如果您有必要的 IAM 許可,請在顯示的 IAM 政策提示中選擇下一步。如果您沒有所需的許可,請依照提示在使用者或角色中嵌入 JSON 政策。

  7. 檢閱您的共用位置,以檢視資料擁有者共用的 Amazon S3 儲存貯體或字首和物件。檢閱 Amazon S3 存取點資訊的資料存取資訊,以判斷資料擁有者是否已啟用申請者付款

  8. 選擇瀏覽共用的 Amazon S3 位置,以檢視和探索資料擁有者的 Amazon S3 儲存貯體、字首和共用的物件。

  9. 在您使用 Amazon S3 儲存貯體名稱的任何位置使用存取點別名,以程式設計方式存取您具備權限的資料。如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的將存取點與相容的 Amazon S3 操作搭配使用。

  10. (選用) 當您取得 Amazon S3 資料存取資料集的權利,其中包含使用資料擁有者的 加密的資料時 AWS KMS key,您可以在 主控台中檢視 KMS 金鑰 ARN。 會為您 AWS Data Exchange 建立金鑰的 AWS KMS 授與,讓您可以存取加密的資料。您必須取得 的 kms:DecryptIAM 許可 AWS KMS key ,才能從您取得權利的 Amazon S3 存取點讀取加密資料。您可以選擇下列 IAM 政策陳述式:

    1. IAM 政策允許使用者使用任何 KMS 金鑰解密或加密資料。

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [{

        "Effect": "Allow",
        "Action": ["kms:Decrypt"],
        "Resource": ["*"]
    }
  ]
}

    2. IAM 政策可讓使用者指定收件人主控台中顯示的確切 KMS 金鑰 ARNs。

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:111122223333:key/KeyId"
            ]
        }
    ]
}
注意

AWS KMS 授予最多可能需要 5 分鐘才能讓操作達到最終一致性。在完成之前,您可能無法存取 Amazon S3 資料存取資料集。如需詳細資訊,請參閱《 AWS KMS key 管理服務開發人員指南》中的 AWS KMS 中的授權