Amazon DataZone 與 AWS Lake Formation 混合模式集成 - Amazon DataZone
在 Amazon 中啟用 AWS Lake Formation 混合模式整合時,如何處理加密的 Amazon S3 位置 DataZone

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon DataZone 與 AWS Lake Formation 混合模式集成

Amazon DataZone 與 AWS Lake Formation 混合模式集成。這項整合可讓您輕鬆地透過 Amazon 發佈和共用 AWS Glue 表格, DataZone而無需先在 AWS Lake Formation 中註冊。混合模式可讓您透過 AWS Lake Formation 開始管理 AWS Glue 資料表的許可,同時繼續維護這些資料表上的任何現有 IAM 許可。

若要開始使用,您可以在 Amazon DataZone 管理主控台的DefaultDataLake藍圖下啟用資料位置登錄設定。

啟用與 AWS Lake Formation 混合模式集成

  1. https://console.aws.amazon.com/datazone 上導航到 Amazon DataZone 控制台,然後使用您的帳戶憑據登錄。

  2. 選擇查看域,然後選擇要啟用與 AWS 湖泊形成混合模式集成的域。

  3. 在網域詳細資料頁面上,導覽至「圖」索引標籤。

  4. 藍圖清單中選擇藍DefaultDataLake圖。

  5. 確保 DefaultDataLake 藍圖已啟用。如果未啟用,請按照中的步驟在在擁有 Amazon DataZone 網域的 AWS 帳戶中啟用內建藍圖您的 AWS 帳戶中啟用它。

  6. 在 DefaultDataLake 詳細資訊頁面上,開啟啟動設定索引標籤,然後選擇頁面右上角的編輯按鈕。

  7. 在 [資料位置註冊] 下,核取方塊以啟用資料位置註冊。

  8. 對於資料位置管理角色,您可以建立新的 IAM 角色或選取現有的 IAM 角色。Amazon DataZone 使用此角色,使 AWS 用湖泊 Lake Formation 混合存取模式管理對資料湖所選 Amazon S3 儲存貯體的讀取/寫入存取。如需詳細資訊,請參閱 AmazonDataZone<region>S3 管理--< > domainId

  9. 或者,如果您不希望 Amazon 以混合模式自動註冊某些 Amazon DataZone S3 位置,您可以選擇排除某些 Amazon S3 位置。為此,請完成以下步驟:

    • 選擇切換按鈕以排除指定的 Amazon S3 位置。

    • 提供您要排除的 Amazon S3 儲存貯體的 URI。

    • 若要新增其他儲存貯體,請選擇新增 S3 位置。

      注意

      Amazon DataZone 僅允許排除根 S3 位置。根 S3 位置路徑內的任何 S3 位置都會自動從註冊中排除。

    • 選擇儲存變更

在 AWS 帳戶中啟用資料位置註冊設定後,當資料使用者訂閱透過 IAM 許可管理的 AWS Glue 表格時,Amazon DataZone 會先以混合模式註冊此表格的 Amazon S3 位置,然後透過 AWS Lake Formation 管理表格上的許可,以授予資料消費者的存取權。這可確保資料表上的 IAM 許可繼續以新授予的 AWS Lake Formation 權限存在,而不會中斷任何現有的工作流程。

在 Amazon 中啟用 AWS Lake Formation 混合模式整合時,如何處理加密的 Amazon S3 位置 DataZone

如果您使用以客戶受管或受 AWS 管 KMS 金鑰加密的 Amazon S3 位置,則 AmazonDataZoneS3Manage 角色必須具有使用 KMS 金鑰加密和解密資料的權限,否則 KMS 金鑰政策必須授與該角色金鑰的權限。

如果您的 Amazon S3 位置使用 AWS 受管金鑰加密,請將下列內嵌政策新增至AmazonDataZoneDataLocationManagement角色:


   {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "<AWS managed key ARN>"
    }
  ]

如果您的 Amazon S3 位置使用客戶受管金鑰加密,請執行下列動作:

  1. https://console.aws.amazon.com/kms 開啟 AWS KMS 主控台,然後以 AWS Identity and Access Management (IAM) 管理使用者身分登入,或以可修改用於加密位置之 KMS 金鑰金鑰金鑰政策的使用者身分登入。

  2. 在瀏覽窗格中,選擇 [客戶受管金鑰],然後選擇所需 KMS 金鑰的名稱。

  3. 在 KMS 金鑰詳細資料頁面上,選擇金鑰原則索引標籤,然後執行下列其中一項動作,以 KMS 金鑰使用者身分新增您的自訂角色或 Lake Formation 服務連結角色:

    • 如果顯示預設檢視 (包含金鑰管理員、金鑰刪除、金鑰使用者和其他 AWS 帳戶區段) — 在 [金鑰使用者] 區段下,新增AmazonDataZoneDataLocationManagement角色。

    • 如果金鑰原則 (JSON) 顯示 — 編輯原則,將 AmazonDataZoneDataLocationManagementrole 新增至物件「允許使用金鑰」,如下列範例所示

      
...
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/service-role/AmazonDataZoneDataLocationManage-<region>-<domain-id>",
                    "arn:aws:iam::111122223333:user/keyuser"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        ...
注意

如果 KMS 金鑰或 Amazon S3 位置與資料目錄不在同一個 AWS 帳戶中,請遵循跨 AWS 帳戶註冊加密的 Amazon S3 位置中的指示。