第 4 步:将数据存储切换到 Lake Formation 权限模型 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 4 步:将数据存储切换到 Lake Formation 权限模型

升级到 Lake Formation 一次允许一个数据位置。为此,请重复整个部分,直到您注册数据目录引用的所有 Amazon Simple Storage Service (Amazon S3) 路径。

验证 Lake Formation 权限

在注册位置之前,请执行验证步骤,以确保正确的委托人具有所需的 Lake Formation 权限,并且不向不应拥有这些权限的委托人授予 Lake Formation 权限。使用 Lake FormationGetEffectivePermissionsForPathAPI 操作,确定引用 Amazon S3 位置的数据目录资源以及对这些资源具有权限的委托人。

以下Amazon CLI示例返回引用 Amazon S3 存储桶的数据目录数据库和表products.

aws lakeformation get-effective-permissions-for-path --resource-arn arn:aws:s3:::products --profile datalake_admin

请注意profile选项。建议您作为数据湖管理员运行该命令。

下面是来自返回结果的摘录。

{ "PermissionsWithGrantOption": [ "SELECT" ], "Resource": { "TableWithColumns": { "Name": "inventory_product", "ColumnWildcard": {}, "DatabaseName": "inventory" } }, "Permissions": [ "SELECT" ], "Principal": { "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1", "DataLakePrincipalType": "IAM_USER" } },...
重要

如果您的Amazon Glue数据目录已加密,GetEffectivePermissionsForPath仅返回在 Lake Formation 正式上市后创建或修改的数据库和表。

保护现有的数据目录资源

接下来,撤消Super许可来自IAMAllowedPrincipals在您为该位置确定的每个表和数据库上。

警告

如果您具有在数据目录中创建数据库和表的自动化,则以下步骤可能会导致自动化和下游提取、转换和加载 (ETL) 作业失败。只有在修改现有流程或向所需委托人授予明确的 Lake Formation 权限后,才能继续操作。有关 Lake Formation 权限的更多信息,请Lake Formation 权限参考.

撤消SuperIAMAllowedPrincipals在桌子上

  1. 打开Amazon Lake Formation控制台https://console.aws.amazon.com/lakeformation/. 以数据湖管理员身份登录。

  2. 在导航窗格中,选择

  3. 在存储库的页面上,选择所需表格旁边的单选按钮。

  4. 在存储库的操作菜单中,选择撤消.

  5. 撤消权限对话框中,在IAM 用户和角色列出,向下滚动到Group标题,然后选择我允许校长.

  6. 表权限,确保超级选中状态,然后选择撤消.

撤消SuperIAMAllowedPrincipals在数据库上

  1. 打开Amazon Lake Formation控制台https://console.aws.amazon.com/lakeformation/. 以数据湖管理员身份登录。

  2. 在导航窗格中,选择 Databases(数据库)。

  3. 在存储库的数据库页面上,选择所需数据库旁边的单选按钮。

  4. Actions 菜单上选择 Edit

  5. 在存储库的编辑数据库页面,清除仅对此数据库中的新表使用 IAM 访问控制,然后选择Save(保存).

  6. 回到数据库页面中,确保数据库仍处于选中状态,然后在操作菜单中,选择撤消.

  7. 撤消权限对话框中,在IAM 用户和角色列出,向下滚动到Group标题,然后选择我允许校长.

  8. 数据库权限,确保超级选中状态,然后选择撤消.

为您的 Amazon S3 位置启用 nn Lake Formation 权限

接下来,向 Lake Formation 注册 Amazon S3 位置。为此,您可以使用中所述的过程。将 Amazon S3 位置添加到您的数据湖. 或者,使用RegisterResource如中所述的 API 操作凭据自动售货机 API.

注意

如果已注册,则不需要注册子营业地点。

完成这些步骤并测试用户是否可以访问他们的数据后,您已成功升级到 Lake Formation 权限。继续下一步,第 5 步:保护新的数据目录资源.