第4步: 将您的数据存储切换到 Lake Formation 权限模型 - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第4步: 将您的数据存储切换到 Lake Formation 权限模型

升级到 Lake Formation 一次允许一个数据位置。为此,请重复整个部分,直到您注册所有 Amazon Simple Storage Service (人Amazon S3)路径,这些路径由您的 Data Catalog.

验证 Lake Formation 权限

在注册位置之前,执行验证步骤,以确保正确的承运人 Lake Formation 权限,并且没有 Lake Formation 权限被授予不应拥有这些权限的承运人。使用 Lake Formation GetEffectivePermissionsForPath API操作,标识 Data Catalog 参考 Amazon S3 位置,以及对这些资源具有权限的主体。

以下 AWS CLI 示例返回 Data Catalog 参考 Amazon S3 桶 products.

aws lakeformation get-effective-permissions-for-path --resource-arn arn:aws:s3:::products --profile datalake_admin

注意 profile 选项。我们建议您以数据湖管理员身份运行命令。

以下是返回结果的摘录。

{ "PermissionsWithGrantOption": [ "SELECT" ], "Resource": { "TableWithColumns": { "Name": "inventory_product", "ColumnWildcard": {}, "DatabaseName": "inventory" } }, "Permissions": [ "SELECT" ], "Principal": { "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1", "DataLakePrincipalType": "IAM_USER" } },...
重要

如果您的 AWS Glue Data Catalog 是加密的, GetEffectivePermissionsForPath 仅返回在下列时间后创建或修改的数据库和表格 Lake Formation 一般可用性。

保护现有 Data Catalog 资源

接下来,撤销 Super 许可自 IAMAllowedPrincipals 您所识别的每个表格和数据库上。

警告

如果实现了自动化,可在 Data Catalog,以下步骤可能导致自动化和下游提取、转换和加载(ETL)作业失败。仅在您修改了现有流程或明确授权后继续 Lake Formation 所需主体的权限。有关 Lake Formation 权限,请参阅 Lake Formation 权限参考.

撤销 SuperIAMAllowedPrincipals 餐桌上

  1. 访问 https://console.amazonaws.cn/lakeformation/,打开 AWS Lake Formation 控制台。以数据湖管理员身份登录。

  2. 在导航窗格中,选择 Tables (表)

  3. 表格 页面中,选择所需表格旁边的单选按钮。

  4. 操作 菜单,选择 撤销.

  5. 撤销权限 对话框,位于 IAM用户和角色 列表,向下滚动至 标题,并选择 IAMAllowedPrincipals.

  6. 低于 表格权限,确保 超级 选择,然后选择 撤销.

撤销 SuperIAMAllowedPrincipals 数据库上

  1. 访问 https://console.amazonaws.cn/lakeformation/,打开 AWS Lake Formation 控制台。以数据湖管理员身份登录。

  2. 在导航窗格中,选择 Databases (数据库)

  3. 数据库 页面中,选择所需数据库旁边的单选按钮。

  4. Actions 菜单上选择 Edit

  5. 编辑数据库 页面,清除 仅对此数据库中的新表使用IAM访问控制,然后选择 保存.

  6. 回到 数据库 ,确保数据库仍处于选中状态,然后在 操作 菜单,选择 撤销.

  7. 撤销权限 对话框,位于 IAM用户和角色 列表,向下滚动至 标题,并选择 IAMAllowedPrincipals.

  8. 低于 数据库权限,确保 超级 选择,然后选择 撤销.

打开 Lake Formation 您的权限 Amazon S3 位置

接下来,注册 Amazon S3 位置 Lake Formation. 为此,您可以使用 添加 Amazon S3 数据湖位置. 或者,使用 RegisterResource API操作,如中所述 凭证自动售货API.

注意

如果父位置已注册,则不需要注册子位置。

完成这些步骤并测试用户可访问其数据后,您已成功升级到 Lake Formation 权限。继续下一步 第5步: 安全新 Data Catalog 资源.