Übersicht über die Integration von Amazon S3 Tables in AWS-Analytikservices - Amazon Simple Storage Service
Funktionsweise der IntegrationNächste Schritte

Übersicht über die Integration von Amazon S3 Tables in AWS-Analytikservices

Um Tabellen in Ihrem Konto für AWS-Analytikservices zugänglich zu machen, integrieren Sie Ihre Amazon S3-Tabellen-Buckets in Amazon SageMaker Lakehouse. Diese Integration ermöglicht es AWS-Analytikservices, Ihre Tabellendaten automatisch zu erkennen und darauf zuzugreifen. Sie können diese Integration verwenden, um mit Ihren Tabellen in diesen Diensten zu arbeiten:

Anmerkung

Diese Integration verwendet die Dienste AWS Glue und AWS Lake Formation und kann AWS Glue-Anforderungs- und Speicherkosten verursachen. Weitere Informationen finden Sie unter AWS Glue – Preise.

Für die Ausführung von Abfragen in Ihren S3 Tables fallen zusätzliche Preise an. Weitere Informationen finden Sie in den Preisinformationen für die von Ihnen verwendete Query Engine.

Funktionsweise der Integration

Wenn Sie in der Konsole einen Tabellen-Bucket erstellen, initiiert Amazon S3 die folgenden Aktionen, um Tabellen-Buckets in der Region, die Sie ausgewählt haben, in AWS-Analytikdienste zu integrieren:

  1. Erstellt eine neue AWS Identity and Access Management(IAM)-Servicerolle, die Lake Formation Zugriff auf all Ihre Tabellen-Buckets gewährt.

  2. Mithilfe der Servicerolle registriert Lake Formation Tabellen-Buckets in der aktuellen Region. Auf diese Weise kann Lake Formation den Zugriff, die Berechtigungen und die Steuerung für alle aktuellen und zukünftigen Tabellen-Buckets in dieser Region verwalten.

  3. Fügt den s3tablescatalog-Katalog zur aktuellen AWS Glue Data Catalog-Region hinzu. Durch Hinzufügen des s3tablescatalog-Katalogs werden alle Ihre Tabellen-Buckets, Namespaces und Tabellen in den Datenkatalog übernommen.

Anmerkung

Diese Aktionen werden über die Amazon-S3-Konsole automatisiert. Wenn Sie diese Integration programmgesteuert durchführen, müssen Sie all diese Aktionen manuell ausführen.

Sie integrieren Ihre Tabellen-Buckets einmal pro AWS-Region. Nachdem die Integration abgeschlossen ist, werden alle aktuellen und zukünftigen Tabellen-Buckets, Namespaces und Tabellen zum AWS Glue Data Catalog in dieser Region hinzugefügt.

Die folgende Abbildung zeigt, wie der s3tablescatalog-Katalog Tabellen-Buckets, Namespaces und Tabellen in der aktuellen Region automatisch als entsprechende Objekte in den Datenkatalog überträgt. Tabellen-Buckets werden als Unterkataloge übertragen. Namespaces innerhalb eines Tabellen-Buckets werden als Datenbanken in ihren jeweiligen Unterkatalogen übertragen. Tabellen werden als Tabellen in ihren jeweiligen Datenbanken übertragen.

Die Art und Weise, wie Tabellenressourcen in AWS Glue Data Catalog dargestellt werden.
So funktionieren Berechtigungen

Wir empfehlen, Ihre Tabellen-Buckets in AWS-Analytikservices zu integrieren, sodass Sie mit Ihren Tabellendaten serviceübergreifend arbeiten können, die den AWS Glue Data Catalog als Metadatenspeicher verwenden. Die Integration ermöglicht eine differenzierte Zugriffskontrolle über AWS Lake Formation. Dieser Sicherheitsansatz bedeutet, dass Sie zusätzlich zu den AWS Identity and Access Management (IAM-) Berechtigungen Ihrem IAM-Prinzipal Lake Formation-Berechtigungen für Ihre Tabellen gewähren müssen, bevor Sie mit ihnen arbeiten können.

Es gibt zwei Haupttypen von Berechtigungen in AWS Lake Formation:

  • Zugriffsberechtigungen für Metadaten steuern die Fähigkeit, Metadatendatenbanken und Tabellen im Datenkatalog zu erstellen, zu lesen, zu aktualisieren und zu löschen.

  • Die zugrunde liegenden Datenzugriffsberechtigungen steuern die Fähigkeit, Daten zu den zugrunde liegenden Amazon-S3-Speicherorten zu lesen und zu schreiben, auf die die Datenkatalogressourcen verweisen.

Lake Formation verwendet eine Kombination aus seinem eigenen Berechtigungsmodell und dem IAM-Berechtigungsmodell, um den Zugriff auf Data Catalog und zugrunde liegende Daten zu steuern.

  • Damit eine Anfrage für den Zugriff auf Datenkatalogressourcen oder zugrunde liegende Daten erfolgreich ist, muss die Anforderung die Berechtigungsprüfungen sowohl von IAM als auch von Lake Formation bestehen.

  • IAM-Berechtigungen kontrollieren den Zugriff auf Lake-Formation-Ressourcen sowie AWS Glue-APIs und Ressourcen, wohingegen Lake-Formation-Berechtigungen den Zugriff auf Ressourcen von Data Catalog, Amazon-S3-Standorte und die zugrunde liegenden Daten kontrollieren.

Lake-Formation-Berechtigungen gelten nur in der Region, in der sie erteilt wurden, und ein Prinzipal muss von einem Data Lake-Administrator oder einem anderen Prinzipal mit den erforderlichen Berechtigungen autorisiert werden, um Lake Formation-Berechtigungen zu erhalten.

Weitere Informationen finden Sie unter Übersicht über Lake-Formation-Berechtigungen im AWS Lake Formation-Entwicklerhandbuch.

Stellen Sie sicher, dass Sie die unter beschriebenen Schritte befolgen, Integrieren von S3 Tables mit AWS-Analytikservices damit Sie über die entsprechenden Berechtigungen für den Zugriff auf die AWS Glue Data Catalog und Ihre Tabellenressourcen sowie für die Arbeit mit AWS Analytics-Services verfügen.

Nächste Schritte