第 4 步:将您的数据存储切换到 Lake Formation 权限模型 - Amazon Lake Formation
验证Lake Formation保护现有数据目录资源为您的 Amazon S3 位置开启 Lake Formation 权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 4 步:将您的数据存储切换到 Lake Formation 权限模型

一次升级到一个数据位置的 Lake Formation 权限。为此,请重复整个部分,直到您已注册数据目录引用的所有 Amazon Simple Storage Service (Amazon S3) 路径。

验证Lake Formation

在注册地点之前,请执行验证步骤,确保正确的负责人拥有所需的Lake Formation 权限,并且不向不应拥有该权限的负责人授予任何Lake Formation 队权限。使用Lake FormationGetEffectivePermissionsForPathAPI 操作,识别引用 Amazon S3 位置的数据目录资源,以及对这些资源拥有权限的委托人。

以下Amazon CLI示例返回引用 Amazon S3 存储桶的数据目录数据库和表products.

aws lakeformation get-effective-permissions-for-path --resource-arn arn:aws:s3:::products --profile datalake_admin

注意profile选项。建议您以数据湖管理员的身份运行该命令。

下面是来自返回的结果的摘录。

{
        "PermissionsWithGrantOption": [
            "SELECT"
        ],
        "Resource": {
            "TableWithColumns": {
                "Name": "inventory_product",
                "ColumnWildcard": {},
                "DatabaseName": "inventory"
            }
        },
        "Permissions": [
            "SELECT"
        ],
        "Principal": {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1",
            "DataLakePrincipalType": "IAM_USER"
        }
 },...
重要

如果您的Amazon Glue数据目录已加密,GetEffectivePermissionsForPath仅返回在 Lake Formation 正式发布后创建或修改的数据库和表。

保护现有数据目录资源

接下来,撤销Super来自的许可IAMAllowedPrincipals在您为该位置标识的每个表和数据库上。

警告

如果您已实现自动化,可以在数据目录中创建数据库和表,则以下步骤可能会导致自动化和下游提取、转换和加载 (ETL) 作业失败。只有在您修改了现有流程或向所需负责人授予明确的 Lake Formation 权限后才能继续。有关Lake Formation 权限的更多信息,请参阅Lake Formation 权限参考.

撤KEKESuperIAMAllowedPrincipals在桌子上

  1. 打开Amazon Lake Formation控制台位于https://console.aws.amazon.com/lakeformation/. 以数据湖管理员身份登录。

  2. 在导航窗格中,选择

  3. 在存储库的页面上,选择所需表格旁边的单选按钮。

  4. 在存储库的操作菜单,选择撤KE.

  5. 撤访问权限对话框中IAM 用户和角色列表,向下滚动到Group标题,然后选择IAMAllowedPrincipals.

  6. UNDER表权限,请确保超级已选中,然后选择撤KE.

撤KEKESuperIAMAllowedPrincipals在数据库上

  1. 打开Amazon Lake Formation控制台位于https://console.aws.amazon.com/lakeformation/. 以数据湖管理员身份登录。

  2. 在导航窗格中,选择 Databases(数据库)。

  3. 在存储库的数据库页面上,选择所需数据库旁边的单选按钮。

  4. Actions 菜单上选择 Edit

  5. 在存储库的编辑数据库页面,清除仅对该数据库中的新表使用 IAM 访问控制,然后选择Save(保存).

  6. Back数据库页面上,确保数据库仍处于选中状态,然后在操作菜单,选择撤KE.

  7. 撤访问权限对话框中IAM 用户和角色列表,向下滚动到Group标题,然后选择IAMAllowedPrincipals.

  8. UNDER数据库权限,请确保超级已选中,然后选择撤KE.

为您的 Amazon S3 位置开启 Lake Formation 权限

接下来,在 Lake Formation 中注册 Amazon S3 地点。要执行此操作,您可以使用中描述的流程将 Amazon S3 位置添加到您的数据湖. 或者,使用RegisterResourceAPI 操作,如中所述凭据自动售货机 API.

注意

如果已注册了上级地点,则无需注册子位置。

完成这些步骤并测试您的用户是否可以访问他们的数据后,您已成功升级到 Lake Formation 权限。继续下一步,第 5 步:保护新的数据目录资源.