本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
步骤 4:将您的数据存储切换到 Lake Formation 权限模型
一次只能升级到一个数据位置的 Lake Formation 权限。为此,请重复整个部分,直到您注册了数据目录引用的所有 Amazon 简单存储服务 (Amazon S3) 路径。
验证湖泊形成权限
在注册地点之前,请执行验证步骤,确保正确的委托人具有所需的 Lake Formation 权限,并且不会向不应拥有这些权限的委托人授予 Lake Formation 权限。使用湖泊地层GetEffectivePermissionsForPathAPI 操作,识别引用 Amazon S3 位置的数据目录资源,以及对这些资源拥有权限的主体。
以下Amazon CLI示例返回引用 Amazon S3 存储桶的数据目录数据库和表products。
aws lakeformation get-effective-permissions-for-path --resource-arn arn:aws:s3:::products --profile datalake_admin
请注意profile选项。我们建议您以数据湖管理员身份运行该命令。
以下是返回结果的摘录。
{ "PermissionsWithGrantOption": [ "SELECT" ], "Resource": { "TableWithColumns": { "Name": "inventory_product", "ColumnWildcard": {}, "DatabaseName": "inventory" } }, "Permissions": [ "SELECT" ], "Principal": { "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1", "DataLakePrincipalType": "IAM_USER" } },...
重要
如果你的Amazon Glue数据目录已加密,GetEffectivePermissionsForPath仅返回 Lake Formation 正式发布后创建或修改的数据库和表。
保护现有的数据目录资源
接下来,撤销Super来自的许可IAMAllowedPrincipals在您为该位置指定的每个表和数据库上。
警告
如果您实施了在数据目录中创建数据库和表的自动化,则以下步骤可能会导致自动化和下游提取、转换和加载 (ETL) 作业失败。只有在修改了现有流程或向所需主体授予明确的 Lake Formation 权限后,才能继续操作。有关 Lake Formation 权限的信息,请参阅湖泊形成权限参考。
要撤销Super从IAMAllowedPrincipals在桌子上
-
打开Amazon Lake Formation控制台在https://console.aws.amazon.com/lakeformation/
。以数据湖管理员身份登录。 -
在导航窗格中,选择表。
-
在桌子页面,选择所需表格旁边的单选按钮。
-
在行动菜单,选择撤销。
-
在撤消权限对话框,在IAM 用户和角色列表,向下滚动到小组标题,然后选择我是AllowedPrincipals。
-
下表格权限,确保超级被选中,然后选择撤销。
要撤销Super从IAMAllowedPrincipals在数据库上
-
打开Amazon Lake Formation控制台在https://console.aws.amazon.com/lakeformation/
。以数据湖管理员身份登录。 -
在导航窗格中,选择 Databases(数据库)。
-
在数据库页面,选择所需数据库旁边的单选按钮。
-
在 Actions 菜单上选择 Edit。
-
在编辑数据库页面,清除仅对该数据库中的新表使用 IAM 访问控制,然后选择保存。
-
回来数据库页面,确保数据库仍处于选中状态,然后在行动菜单,选择撤销。
-
在撤消权限对话框,在IAM 用户和角色列表,向下滚动到小组标题,然后选择我是AllowedPrincipals。
-
下数据库权限,确保超级被选中,然后选择撤销。
为您的 Amazon S3 地点开启湖阵地权限
接下来,向 Lake Formation 注册亚马逊 S3 地点。为此,您可以使用中描述的过程向您的数据湖中添加 Amazon S3 位置。或者,使用RegisterResourceAPI 操作如中所述凭证自动售货 API。
注意
如果已注册父地点,则无需注册子地点。
完成这些步骤并测试您的用户是否可以访问其数据后,您已成功升级到 Lake Formation 权限。继续下一步,步骤 5:保护新的数据目录资源。