Panoramica dell’integrazione di Tabelle Amazon S3 con i servizi di analisi AWS - Amazon Simple Storage Service
Funzionamento dell'integrazionePassaggi successivi

Panoramica dell’integrazione di Tabelle Amazon S3 con i servizi di analisi AWS

Per rendere le tabelle dell’account accessibili dai servizi di analisi AWS, è necessario integrare i bucket di Tabelle Amazon S3 con Amazon SageMaker Lakehouse. Questa integrazione consente ai servizi di analisi AWS di individuare e accedere automaticamente ai dati delle tabelle. È possibile utilizzare l’integrazione con le tabelle nei seguenti servizi:

Nota

Questa integrazione utilizza i servizi AWS Lake Formation e AWS Glue e può comportare costi di richiesta e archiviazione di AWS Glue. Per ulteriori informazioni, consulta la sezione Prezzi di AWS Glue.

Vengono applicati costi aggiuntivi per l'esecuzione di query sulle tabelle S3. Per ulteriori informazioni, consulta le informazioni sui prezzi del motore di query in uso.

Funzionamento dell'integrazione

Quando si crea un bucket di tabelle nella console, Amazon S3 avvia le seguenti azioni per integrare i bucket di tabelle nella Regione selezionata con i servizi di analisi di AWS:

  1. Crea un nuovo ruolo di servizio di AWS Identity and Access Management (IAM) che consente a Lake Formation di accedere a tutti i bucket di tabelle dell'utente.

  2. Utilizzando il ruolo di servizio, Lake Formation registra i bucket di tabelle nella Regione corrente. Ciò consente a Lake Formation di gestire l'accesso, le autorizzazioni e la governance per tutti i bucket di tabelle attuali e futuri in tale Regione.

  3. Aggiunge il catalogo s3tablescatalog al AWS Glue Data Catalog nella Regione corrente. L’aggiunta del catalogo s3tablescatalog consente di popolare tutti i bucket di tabelle, i namespace e le tabelle nel Catalogo dati.

Nota

Queste azioni sono automatizzate tramite la console Amazon S3. Se si esegue questa integrazione a livello di codice, è necessario eseguire manualmente tutte queste azioni.

È possibile integrare i bucket di tabelle una volta per Regione AWS. Al completamento dell’integrazione, tutti i bucket di tabelle, le tabelle e i namespace attuali e futuri vengono aggiunti al AWS Glue Data Catalog in tale Regione.

L’illustrazione seguente mostra come il catalogo s3tablescatalog popola automaticamente i bucket di tabelle, i namespace e le tabelle nella Regione corrente come oggetti corrispondenti nel Catalogo dati. I bucket di tabelle vengono popolati come sottocataloghi. I namespace all’interno di un bucket di tabelle vengono popolati come database nei rispettivi sottocataloghi. Le tabelle vengono popolate come tabelle nei rispettivi database.

Modi in cui le risorse delle tabelle sono rappresentate nel AWS Glue Data Catalog.
Come funzionano le autorizzazioni

È consigliabile di integrare i bucket di tabelle con i servizi di analisi AWS in modo da poter utilizzare i dati delle tabelle su tutti i servizi che utilizzano il AWS Glue Data Catalog come archivio di metadati. L’integrazione consente il controllo granulare degli accessi tramite AWS Lake Formation. Questo approccio alla sicurezza comporta che, oltre alle autorizzazioni AWS Identity and Access Management (IAM), è necessario concedere le autorizzazioni di Lake Formation ai principali IAM sulle tabelle prima di poterle utilizzare.

Esistono due tipi principali di autorizzazioni in AWS Lake Formation:

  • Le autorizzazioni di accesso ai metadati controllano la possibilità di creare, leggere, aggiornare ed eliminare database e tabelle di metadati nel Catalogo dati.

  • Le autorizzazioni di accesso ai dati sottostanti controllano la capacità di leggere e scrivere dati nelle posizioni Amazon S3 sottostanti a cui fanno riferimento le risorse del Catalogo dati.

Lake Formation utilizza una combinazione del proprio modello di autorizzazioni e del modello di autorizzazioni IAM per controllare l’accesso alle risorse del Catalogo dati e ai dati sottostanti:

  • Affinché una richiesta di accesso alle risorse del Catalogo dati o ai dati sottostanti abbia esito positivo, la richiesta deve superare i controlli di autorizzazione sia di IAM sia di Lake Formation.

  • Le autorizzazioni IAM controllano l’accesso a Lake Formation nonché alle API e alle risorse AWS Glue, mentre le autorizzazioni Lake Formation controllano l’accesso alle risorse del Catalogo dati, alle posizioni Amazon S3 e ai dati sottostanti.

Le autorizzazioni Lake Formation si applicano solo nella Regione in cui sono state concesse e un principale deve essere autorizzato da un amministratore del data lake o da un altro principale con le autorizzazioni necessarie al fine di ottenere le autorizzazioni Lake Formation.

Per ulteriori informazioni, consulta la pagina relativa alla panoramica delle autorizzazioni di Lake Formation nella Guida per gli sviluppatori di AWS Lake Formation.

Assicurati di seguire i passaggi indicati in Integrazione di Tabelle S3 con i servizi di analisi AWS per disporre delle autorizzazioni appropriate per accedere a AWS Glue Data Catalog e alle risorse delle tabelle e utilizzare i servizi di analisi AWS.

Passaggi successivi