Gestione dell’accesso a una tabella o a un database con Lake Formation - Amazon Simple Storage Service
Concessione dell’autorizzazione Lake Formation per una tabella o un database

Gestione dell’accesso a una tabella o a un database con Lake Formation

Dopo l’integrazione dei bucket di tabelle con i servizi di analisi AWS, Lake Formation gestisce l’accesso alle tabelle e richiede che ogni principale IAM (utente o ruolo) sia autorizzato a eseguire azioni sulle tabelle. Lake Formation utilizza il proprio modello di autorizzazioni Lake Formation che consente un controllo granulare degli accessi per le risorse del Catalogo dati.

Per ulteriori informazioni, consulta la pagina relativa alla panoramica delle autorizzazioni di Lake Formation nella Guida per gli sviluppatori di AWS Lake Formation.

Esistono due tipi principali di autorizzazioni in AWS Lake Formation:

  1. Le autorizzazioni di accesso ai metadati controllano la possibilità di creare, leggere, aggiornare ed eliminare database e tabelle di metadati nel Catalogo dati.

  2. Le autorizzazioni di accesso ai dati sottostanti controllano la capacità di leggere e scrivere dati nelle posizioni Amazon S3 sottostanti a cui fanno riferimento le risorse del Catalogo dati.

Lake Formation utilizza una combinazione del proprio modello di autorizzazioni e del modello di autorizzazioni IAM per controllare l’accesso alle risorse del Catalogo dati e ai dati sottostanti:

  • Affinché una richiesta di accesso alle risorse del Catalogo dati o ai dati sottostanti abbia esito positivo, la richiesta deve superare i controlli di autorizzazione sia di IAM sia di Lake Formation.

  • Le autorizzazioni IAM controllano l’accesso a Lake Formation nonché alle API e alle risorse AWS Glue, mentre le autorizzazioni Lake Formation controllano l’accesso alle risorse del Catalogo dati, alle posizioni Amazon S3 e ai dati sottostanti.

Le autorizzazioni Lake Formation si applicano solo nella Regione in cui sono state concesse e un principale deve essere autorizzato da un amministratore del data lake o da un altro principale con le autorizzazioni necessarie al fine di ottenere le autorizzazioni Lake Formation.

Nota

L’utente che ha eseguito l’integrazione del bucket di tabelle dispone già delle autorizzazioni Lake Formation per le tabelle. Se sei l’unico principale che accede alle tabelle, questa fase può essere ignorata. È sufficiente fornire le autorizzazioni Lake Formation sulle tabelle ad altri principali IAM. Ciò consente ad altri principali di accedere alla tabella durante l’esecuzione di query. Per ulteriori informazioni, consulta Concessione dell’autorizzazione Lake Formation per una tabella o un database.

Concessione dell’autorizzazione Lake Formation per una tabella o un database

È possibile fornire un’autorizzazione Lake Formation al principale per una tabella o un database di un bucket di tabelle tramite la console Lake Formation o AWS CLI.

Nota

Quando fornisci le autorizzazioni Lake Formation per una risorsa catalogo dei dati a un account esterno o direttamente a un principale IAM in un altro account, Lake Formation utilizza il servizio AWS Resource Access Manager (AWS RAM) per condividere la risorsa. Se l’account assegnatario appartiene alla stessa organizzazione dell’account concedente, la risorsa condivisa è immediatamente disponibile per l’assegnatario. Se l’account assegnatario non appartiene alla stessa organizzazione, AWS RAM invia un invito all’account assegnatario per accettare o rifiutare la concessione della risorsa. Quindi, per rendere disponibile la risorsa condivisa, l’amministratore del data lake nell’account assegnatario deve utilizzare la console AWS RAM o AWS CLI per accettare l’invito. Per ulteriori informazioni sulla condivisione dei dati multi-account, consulta Condivisione dei dati tra account in Lake Formation nella Guida per gli sviluppatori di AWS Lake Formation.

Console

  1. Aprire la console AWS Lake Formation all'indirizzo https://console.aws.amazon.com/lakeformation/ e accedere come amministratore del data lake. Per ulteriori informazioni su come creare un amministratore del data lake, consulta Creare un amministratore di data lake nella Guida per gli sviluppatori di AWS Lake Formation.

  2. Nel riquadro di navigazione scegli Autorizzazioni dati, quindi seleziona Concedi.

  3. Nella pagina Concedi le autorizzazioni, in Principali, esegui una delle seguenti operazioni:

    • Per Amazon Athena o Amazon Redshift, scegli Utenti e ruoli IAM e seleziona il principale IAM che usi per le query.

    • Per Amazon Data Firehose, scegli Utenti e ruoli IAM e seleziona il ruolo di servizio creato per lo streaming alle tabelle.

    • Per Quick Suite, scegli Utenti e gruppi SAML e inserisci il nome della risorsa Amazon (ARN) dell’utente amministratore di Quick Suite.

    • Per l’accesso agli endpoint AWS Glue Iceberg REST, scegli Utenti e ruoli IAM, quindi seleziona il ruolo IAM creato per il client. Per ulteriori informazioni, consulta . Creazione di un ruolo IAM per il client

  4. In LF-Tags o risorse del catalogo, scegli Risorse Catalogo dati denominato.

  5. Per Cataloghi, scegli il catalogo secondario creato al momento dell’integrazione del bucket di tabelle, ad esempio account-id:s3tablescatalog/amzn-s3-demo-bucket.

  6. Per Database, scegli lo spazio dei nomi del bucket di tabelle S3 che è stato creato.

  7. (Facoltativo) Per Tabelle, scegli la tabella S3 creata nel bucket di tabelle.

    Nota

    Per creare una nuova tabella nell’editor di query Athena, non occorre selezionare una tabella.

  8. Esegui una di queste operazioni:

    • Se hai specificato una tabella nel passaggio precedente, per Autorizzazioni per le tabelle scegli Super.

    • Se non hai specificato una tabella nel passaggio precedente, vai a Autorizzazioni del database. Per la condivisione dei dati multi-account, non è possibile scegliere Super per fornire all’altro principale tutte le autorizzazioni sul database. Scegli invece autorizzazioni più dettagliate, come Descrivi.

  9. Scegli Concessione.

CLI

  1. Assicurati di eseguire i comandi AWS CLI seguenti come amministratore del data lake. Per ulteriori informazioni, consulta Creare un amministratore di data lake nella Guida per gli sviluppatori di AWS Lake Formation.

  2. Esegui il seguente comando per concedere le autorizzazioni di Lake Formation sulla tabella nel bucket di tabelle S3 a un principale IAM per accedere alla tabella. Per utilizzare questo esempio, sostituisci user input placeholders con le informazioni appropriate. 

    aws lakeformation grant-permissions \
--region us-east-1 \
--cli-input-json \
'{
    "Principal": {
        "DataLakePrincipalIdentifier": "user or role ARN, for example, arn:aws:iam::account-id:role/example-role"
    },
    "Resource": {
        "Table": {
            "CatalogId": "account-id:s3tablescatalog/amzn-s3-demo-bucket",
            "DatabaseName": "S3 table bucket namespace, for example, test_namespace",
            "Name": "S3 table bucket table name, for example test_table"
        }
    },
    "Permissions": [
        "ALL"
    ]
}'