为 亚马逊云科技 Glue 数据目录引入混合访问模式，以便使用 亚马逊云科技 Lake Formation、IAM 和 Amazon S3 策略进行安全访问

亚马逊云科技 Lake Formation 可帮助您集中管理、保护和全球共享数据，用于分析和机器学习。借助 Lake Formation，您可以使用熟悉的数据库式功能，在一个地方管理 亚马逊简单存储服务 (Amazon S3 ) 中数据湖数据的访问控制，以及在 亚马逊云科技 Glue 数据目录 中管理其元数据的访问控制。您可以使用精细的数据访问控制来验证正确的用户是否可以访问正确的数据，直至表的单元格级别。Lake Formation 还可以更轻松地在组织内部和外部共享数据。此外，Lake Formation还集成了 亚马逊雅典娜、亚马逊 Redsh ift Spectrum 、亚马逊 EMR 和适用于 Apache Sp ark 的 Aws G lue ETL 等分析服务 。这些服务允许查询 Lake Formation 托管表，从而帮助您快速安全地从数据中提取业务见解。

在引入 Lake F ormation 及其数据库式数据湖权限之前，您必须通过 亚马逊云科技 身份和访问管理 (IAM) 策略和 S3 存储桶策略分别管理对数据湖中数据及其元数据的访问 。使用 IAM 和 Amazon S3 访问控制机制（与 Lake Formation 相比，该机制更复杂、更不精确），因此您需要更多时间迁移到 Lake Formation，因为数据湖中的给定数据库或表的访问权限可能由 IAM 和 S3 策略或湖组建策略控制，但不能同时控制两者。此外，各种用例都在数据湖上运行。对于运营团队而言，通过单个步骤将所有用例从一种权限模型迁移到另一种权限模型是一项艰巨的任务。

为了简化数据湖权限从 IAM 和 S3 模型向湖组成的过渡，我们为 亚马逊云科技 Glue 数据目录引入了混合访问模式。请参阅 新增 内容 和 文档 。此功能允许您使用 Lake Formation 权限以及 IAM 和 S3 权限保护和访问编目数据。混合访问模式允许数据管理员有选择地逐步获得 Lake Formation 权限，一次只关注一个数据湖用例。例如，假设您现有的提取、转换和加载 (ETL) 数据管道使用 IAM 和 S3 策略来管理数据访问权限。现在，您希望允许数据分析师使用 Amazon Athena 浏览或查询相同的数据。您可以使用 Lake Formation 权限向数据分析师授予访问权限，以根据需要包括精细控件，而无需更改 ETL 数据管道的访问权限。

混合访问模式允许在同一个数据库和表中同时存在两种权限模型，从而在管理用户访问方面提供了更大的灵活性。虽然此功能为数据目录资源打开了两扇门，但 IAM 用户或角色只能使用这两种权限中的一种访问该资源。为 IAM 委托人启用 Lake Formation 权限后，授权将完全由 Lake Formation 管理，现有的 IAM 和 S3 策略将被忽略。 亚马逊云科技 CloudTrail 日志在 Lake Formation 日志和 S3 访问日志中提供了数据目录资源访问的完整详情。

在这篇博客文章中，我们将向您介绍如何在混合访问模式下为选定用户加入 Lake Formation 权限的说明，同时其他用户已经可以通过 IAM 和 S3 权限访问数据库。我们将查看在 亚马逊云科技 账户内和两个账户之间设置混合访问模式的说明。

场景 1 — 亚马逊云科技 账户内的混合访问模式

在这种情况下，我们将引导您完成以下步骤，开始为使用 IAM 和 S3 策略权限访问的数据目录中的数据库添加具有 Lake Formation 权限的用户。举例来说，我们使用两个角色： 数据工程师 ，他拥有使用 IAM 策略和运行 亚马逊云科技 Glue ETL 任务的 S3 存储桶策略的粗粒度权限，以及 数据分析师 ，我们将为其提供使用 Amazon Athena 查询数据库的细粒度湖组权限。

场景 1 如下图所示，其中， 数据工程师 角色 使用 IAM 和 S3 权限访问数据库 hyb ridsalesdb ，而 数据分析师 角色将使用 Lake Formation 权限访问数据库。

先决条件

要为具有混合访问模式的数据目录数据库设置 Lake Formation 以及 IAM 和 S3 权限，您必须具备以下先决条件：

• 不用于生产应用程序的 亚马逊云科技 账户。
• Lake Formation已经在账户中设置了Lake Formation管理员角色或类似角色，供您按照本文中的说明进行操作。例如，我们正在使用名为 LF-Admin 的数据湖管理员角色。要了解有关为数据湖管理员角色设置权限的更多信息，请参阅 创建数据湖管理员 。
• 数据目录中包含几个表的示例数据库。例如，我们的示例数据库名为 hybridsalesdb ，它有一组八个表，如以下屏幕截图所示。你可以使用任何数据集来跟进。

角色及其 IAM 策略设置

账户中有两个角色是 IAM 角色： 数据工程师 和数据分析师 。 他们的 IAM 策略和访问权限如下所述。

以下 IAM 关于 数据工程师 角色的策略允许访问数据目录中的数据库和表元数据。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue: Get*"
            ],
            "Resource": [
                "arn:aws:glue:<Region>:<account-id>:catalog",
                "arn:aws:glue:<Region>:<account-id>:database/hybridsalesdb",
                "arn:aws:glue:<Region>:<account-id>:table/hybridsalesdb/*"
            ]
        }
    ]
}

以下 IAM 关于数据工程师角色的策略授予对数据库和表底层 Amazon S3 位置的数据访问权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDataLakeBucket",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:Put*",
                "s3:Get*",
                "s3:Delete*"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket-name>",
                "arn:aws:s3:::<bucket-name>/<prefix>/"
            ]
        }
    ]
}

数据工程师 还可以使用 AWS 管理策略 arn : aws: iam:: aws: policy/awsglueConsoleFullAccess 和回归型 iam: PassRole 访问 AWS Glue 控制台，运行如下所示 AWS Glue ETL 脚本 。

{
    "Version": "2012-10-17",
    "Statement": [
       {
           "Sid": "PassRolePermissions",
           "Effect": "Allow",
           "Action": [
               " iam:PassRole" ],
           "Resource": [  
		   "arn:aws:iam::<account-id>:role/Data-Engineer"
            ]
        }
    ]
}

以下策略也已添加到 数据工程师 角色的信任策略中，以允许 亚马逊云科技 Glue 代入该角色代表该角色运行 ETL 脚本。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "glue.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

有关运行 亚马逊云科技 Glue ETL 脚本 所需的额外权限，请参阅 亚马逊云科技 Glue 工作室 的设置。

数据分析师 角色拥有数据湖基本用户权限，如向 Lake Format ion 用户 分配权限 中所述。

{
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "glue:GetTable",
            "glue:GetTables",
            "glue:GetTableVersions",
            "glue:SearchTables",
            "glue:GetDatabase",
            "glue:GetDatabases",
            "glue:GetPartitions",
            "lakeformation:GetDataAccess",
            "lakeformation:GetResourceLFTags",
            "lakeformation:ListLFTags",
            "lakeformation:GetLFTag",
            "lakeformation:SearchTablesByLFTags",
            "lakeformation:SearchDatabasesByLFTags"
        ],
        "Resource": "*"
    }
    ]
}

此外， 数据分析师 有权使用亚马逊云科技管理策略 arn: aws: iam:: aws: P ol icy/AmazonaAthenaFullAccess 将雅典娜查询结果写入不由Lake Formation和雅典娜控制台完全访问权限管理的S3存储桶。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<athena-results-bucket>"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:Put*",
                "s3:Get*",
                "s3:Delete*"
            ],
            "Resource": [
                "arn:aws:s3:::<athena-results-bucket>/*"
            ]
        }
    ]
}

为数据分析师设置湖泊形成权限

完成以下步骤，在混合访问模式下使用 Lake Formation 配置您在 Amazon S3 中的数据位置，并授予对 数据分析师 角色的访问权限。

1. 以 Lake Formation 管理员角色登录 亚马逊云科技 管理控制台。
2. 前往 Lake Formation。
3. 从左侧导航栏的 “ 管理 ” 下选择 “ 数据湖位置 ” 。
4. 选择 注册位置 并提供您的数据库和表的 Amazon S3 位置。提供有权访问 S3 位置数据的 IAM 角色。有关更多详细信息，请参阅 用于注册地点的角色 要求 。
5. 在 “ 权限” 模式 下选择 “ 混合访问 模式 ” ，然后选择 “ 注册位置 ” 。
   
6. 在左侧导航栏的 “ 管理 ” 下选择 “ 数据湖位置 ”。检查注册位置是否显示 为 权限 模式的 混合访问 模式 。
   
7. 在左侧导航栏 上 从 目录 中选择 数据库 。选择 hybridsalesdb 。您将选择在前面的步骤中注册的 S3 位置中包含数据的数据库。从 “ 操作 ” 下拉菜单中，选择 “ 授予 ” 。
   
8. 为 IAM 用户和角色 选择 数据分析师 。 在 LF-tags 或目录资源下 ，选择 命名数据目录资源 ，然后为数据库 选择 hybridsalesdb 。
   
9. 在 数据库权限 下 ，选择 描述 。在 混合访问模式 下 ，选中 “ 使湖组建权限立即生效 ” 复选框 。选择 “ 授予 ” 。
   
10. 同样，在左侧导航栏 上 从 “ 目录 ” 中选择 “ 数据库 ”。选择 hybridsalesdb 。 从 “ 操作 ” 下 拉菜单中选择 “ 授予 ”。
11. 在授权窗口中，为 IAM 用户和 角色选择 数据分析 。 在 LF-tags 或目录资源下 ，选择 命名数据目录资源 ，然后为数据库 选择 hybridsalesdb 。
12. 在 “ 表格 ” 下 ，从下拉列表中选择名为 “混合 客户” 、“混合 产品” 和 “h ybridsales_ or d er” 的三个表。
    
13. 在 “ 表权限 ” 下 ， 选择 “选择 和 描述 表的 权限”。
14. 选中 混合访问模式 下的复选框 以使 Lake Formation 权限立即生效。
    
15. 选择 “ 授予 ” 。
16. 选择左侧导航栏 上的 “权限” 下的 “ 数据湖 ” 权限 ，查看授予的权限。 按 “ 主体 = 数据 分析师” 筛选数据 权限 。
    
17. 在左侧导航栏上，选择 混合访问模式 。验证选择的数据分析器是否显示在 hy bridsalesdb 数据库和三个表中。
    
18. 以 Lake Formation 管理员角色注销控制台。

验证数据分析师的湖泊形成权限

1. 以 数据分析师 身份登录控制台。
2. 转到雅典娜控制台。如果您是首次使用 Athena，请按照 指定查询结果位置中所述设置您的 S3 存储桶的查询结果位置 。
   
3. 通过 Athena 查询编辑器在表格上运行预览查询。
   

验证数据工程师的 IAM 和 S3 权限

1. 以数据分析师身份注销并以 数据 工程师身份重新登录控制台。
2. 打开 亚马逊云科技 Glue 控制台，然后 从左侧导航栏中选择 ETL 任务 。
3. 在 “ 创建作业 ” 下 ，选择 Spark 脚本编辑器 。选择 “ 创建”。
4. 下载并打开 此处提供的 示例脚本 。
5. 将脚本作为一项新任务复制并粘贴到工作室脚本编辑器中。
6. 编辑 目录 ID 、数据库和 表名以适合您的示例 。
7. 通过提供数据工程师的 IAM 角色来 运行任务， 保存 并运行 您的 亚马逊云科技 Glue ETL 脚本。
   
8. ETL 脚本成功运行后，您可以从 ETL 脚本的 “ 运行 ” 选项卡中选择输出日志链接。
   
9. 查看该表的架构、前 20 行以及 亚马逊云科技 CloudWatch 日志中的总行数和列数。
   

因此，您可以向新角色添加 Lake Formation 权限以访问数据目录数据库，而不会干扰通过 IAM 和 S3 权限访问同一数据库的另一个角色。

场景 2 — 在两个 亚马逊云科技 账户之间设置混合访问模式

这是一种跨账户共享场景，其中数据生产者与消费者账户共享数据库及其表。生产者为使用者账户上的 亚马逊云科技 Glue ETL 工作负载提供完整的数据库访问权限。同时，生产商使用Lake Formation与消费者账户共享同一数据库的几张表。我们将向您介绍如何使用混合访问模式来支持这两种访问方法。

先决条件

• 在混合访问模式下注册的数据库或表位置的跨账户共享要求生产者或授予者账户处于目录设置中的跨账户共享版本 4，才能授予对混合访问模式资源的权限。从跨账户共享的版本 3 迁移到版本 4 时，对于已经注册到 Lake Formation（Lake Formation 模式）的数据库和表位置，现有的 Lake Formation 权限不会受到影响。要在混合访问模式下注册新的数据集位置以及对该目录资源的新 Lake Formation 权限，您将需要版本 4 的跨账户共享。
• 消费者或收款人账户可以使用其他版本的跨账户共享。如果您的账户使用的是跨账户共享的版本 1 或版本 2，并且想要升级，请按照 更新跨账户数据共享版本设置 操作，首先 将跨账户共享的目录设置升级到版本 3，然后再升级到版本 4。

生产者账户的设置与场景 1 类似，我们将在下一节中讨论场景 2 的额外步骤。

在制作人账户 A 中设置

使用生产者的 S3 存储桶策略向消费者 数据工程师 角色授予 Amazon S3 数据访问权限，使用生产者的数据目录资源策略授予数据目录访问权限。

生产者账户中的 S3 存储桶策略如下：

{
    "Version": "2012-10-17",
    "Statement": [
        {
        "Sid": "data engineer role permissions",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::<consumer-account-id>:role/Data-Engineer"
        },
        "Action": [
            "s3:GetLifecycleConfiguration",
            "s3:ListBucket",
            "s3:PutObject",
            "s3:GetObject",
            "s3:DeleteObject"
        ],
        "Resource": [
            "arn:aws:s3:::<producer-account-databucket>",
            "arn:aws:s3:::<producer-account-databucket>/*"
        ]
        }
    ]
}

生产者账户中的数据目录资源策略如下所示。您还需要获得 A WS 资源访问管理器 (AWS RA M) 的 glue: share Resource IAM 权限才能启用跨账户共享。

{
"Version" : "2012-10-17",
"Statement" : [
    {
    "Effect" : "Allow",
    "Principal" : {
        "AWS" : "arn:aws:iam::<consumer-account-id>:role/Data-Engineer"
    },
    "Action" : "glue:Get*",
    "Resource" : [
        "arn:aws:glue:<Region>:<producer-account-id>:catalog", 
        "arn:aws:glue:<Region>:<producer-account-id>:database/hybridsalesdb", 
        "arn:aws:glue:<Region>:<producer-account-id>:table/hybridsalesdb/*"
    ]
    },
    {
        "Effect" : "Allow",
        "Principal" : {
        "Service" : "ram.amazonaws.com"
        },
        "Action" : "glue:ShareResource",
        "Resource" : [
            "arn:aws:glue:<Region>:<producer-account-id>:table/*/*", 
            "arn:aws:glue:<Region>:<producer-account-id>:database/*", 
            "arn:aws:glue:<Region>:<producer-account-id>:catalog"
        ]
        }
    ]
}

设置跨账户版本并注册 S3 存储桶

1. 以 IAM 管理员角色或具有 PutDatalakeSettings () API IAM 权限的角色身份登录 Lake Format ion 控制台。 选择在 S3 存储桶中存储示例数据集的 亚马逊云科技 区域，并在数据目录中选择相应的数据库和表。
2. 从左侧导航栏的 “ 管理 ” 下选择 “ 数据目录设置 ” 。 从 跨账户 版本设置的下拉菜单中选择版本 4 。选择 “ 保存” 。
   注意： 如果您的环境中还有其他账户通过 Lake Formation 将目录资源共享到您的生产者账户，则升级共享版本可能会对它们产生影响。有关
   
3. 以 IAM 管理员身份注销，然后以 Lake Formation 管理员角色重新登录 Lake Formation 控制台。
4. 从左侧导航栏的 “ 管理 ” 下选择 “ 数据湖位置 ” 。
5. 选择 注册位置 并提供数据库和表的 S3 位置。
6. 提供有权访问 S3 位置数据的 IAM 角色。有关此角色要求的更多详细信息，请参阅 用于注册位置的角色 要求 。
7. 在 “ 权限” 模式 下选择 “ 混合访问 模式 ” ，然后选择 “ 注册位置 ” 。
   
8. 在左侧导航栏的 “ 管理 ” 下选择 “ 数据湖位置 ”。确认注册位置显示 为 权限 模式的 混合访问 模式 。
   

授予跨账户权限

与消费者账户共享数据库 hybridsalesdb 的步骤与设置场景 1 的步骤类似。

1. 在 Lake Formation 控制台中，选择左侧导航栏 上的 目录 中的 数据库 。选择 hybridsalesdb 。选择在您之前注册的 S3 位置中包含数据的数据库。从 “ 操作 ” 下拉菜单中，选择 “ 授予 ” 。
   
2. 在 “ 主人 ” 下选择 “ 外部账户 ” 并提供消费者账户 ID。在 LF 标签或 目录资源 下选择 命名 目录 资源。 为数据库选择 hybridsalesdb 。
   
3. 为 数据库权限 和 可授予的权限 选择 描述 。
4. 在 混合访问模式 下 ，选中 “ 使湖组建权限立即生效 ” 复选框 。选择 “ 授予 ” 。
   

注意： 选中该复选框会 选择使用消费者账户 Lake Formation 管理员角色以使用 Lake Formation 权限，而不会中断消费者账户对同一数据库的 IAM 和 S3 访问权限。

5. 重复步骤 2，直到选择数据库，向消费者账户 ID 授予表级别权限的权限。从 “表” 下拉菜单中选择任意三个表以获得 表 级权限 。
   
6. 在 “ 表权限” 和 “可授予权限 ” 下选择 “选择 ” 。在 混合访问模式 下，选中 “ 使湖组建权限立即生效 ” 复选框 。选择 “ 授予 ” 。
   
7. 在左侧导航栏 上选择 数据湖权限 。验证消费者账户的授予权限。
   
8. 在左侧导航栏 上选择 混合访问模式 。验证已选择加入的资源和委托人。
   

现在，您已经使用 Lake Formation 权限启用了跨账户共享，而无需撤消对 iamallowedPrincip al 虚拟组的访问权限。

在消费者账户 B 中设置

在场景 2 中， 数据分析师 和 数据工程师 角色是在消费者账户中创建的，与场景 1 类似，但这些角色访问从生产者账户共享的数据库和表。

除了 arn: aw s: iam:: aws: policy/awsglueConsoleFullAccess 和 arn: aws: iam:: policy/cloudwatchFullAccess 之外，数据工程师角色还有权在 A WS G lue Studio 中创建 和运行 Apache Spark 任务 。

数据工程师 具有以下 IAM 策略，该策略授予对生产者账户的 S3 存储桶的访问权限，该存储桶以混合访问模式在 Lake Formation 中注册。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDataLakeBucket",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:GetLifecycleConfiguration",
                "s3:Put*",
                "s3:Get*",
                "s3:Delete*"
            ],
            "Resource": [
                "arn:aws:s3:::<producer-account-databucket>/*",
                "arn:aws:s3:::<producer-account-databucket>"
            ]
        }
    ]
}

数据工程师 具有以下 IAM 策略，该策略授予对消费者账户的整个数据目录和生产者账户的数据库 hyb ridsalesdb 及其表的访问权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:*"
            ],
            "Resource": [
                "arn:aws:glue:<Region>:<consumer-account-id>:catalog",
                "arn:aws:glue:<Region>:<consumer-account-id>:database/*",
                "arn:aws:glue:<Region>:<consumer-account-id>:table/*/*",

            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:Get*"
            ],
            "Resource": [
                "arn:aws:glue:<Region>:<producer-account-id>:catalog",
                "arn:aws:glue:<Region>:<producer-account-id>:database/hybridsalesdb",
                "arn:aws:glue:<Region>:<producer-account-id>:table/hybridsalesdb/*"
            ]
        }
    ]
}

数据分析师 具有与场景 1 相同的 IAM 策略，授予基本的数据湖用户权限。有关其他详细信息，请参阅向 Lake Formation 用户 分配权限 。

接受 亚马逊云科技 RAM 邀请

1. 以 Lake Formation 管理员角色登录到 Lake Formation 控制台。
2. 打开 亚马逊云科技 RAM 控制台。 从左侧导航栏 上的 “ 与我 共享 ” 中选择 “ 资源 共享”。您应该看到来自制作人账户的两个邀请，一个用于数据库级共享，另一个用于表格级共享。
   
3. 选择每个邀请，查看生产者账户 ID，然后选择 “ 接受资源共享 ” 。
   

向数据分析师授予湖泊形成权限

1. 打开 Lake Formation 控制台。作为 Lake Formation 管理员，您应该看到来自消费者账户的共享数据库和表。
   
2. 从左侧导航栏 的数据目录 中选择 数据库 。选择数据库 hybridsalesdb 上的单选按钮， 然后 从 “ 操作 ” 下拉菜单中选择 “ 创建资源链接 ”。
   
3. 输入 rl_hybridsalesdb 作为资源链接的名称，其余选项保持不变。选择 “ 创建 ” 。
   
4. 选择 rl_hybridsalesdb 的单 选按钮。 从 “ 操作 ” 下 拉菜单中选择 “ 授予 ”。
   
5. 向 数据分析师 授予资源链接的 描述 权限。
   
6. 同样， 从左侧导航栏中 “ 目录 ” 下的 “ 数据库 ” 中选择 rl_hybridsalesdb 上的单选按钮 。从 “ 操作 ” 下 拉菜单 中选择 “向 目标 授权 ”。
   
7. 为 IAM 用户和角色选择 D ata-Analys t，保留已经选择的数据 库 hybridsalesdb。
   
8. 在 “ 数据库权限” 下选择 “ 描述 ” 。在 混合访问模式 下，选中 “ 使湖组建权限立即生效 ” 复选框 。选择 “ 授予 ” 。
   
9. 从左侧导航栏中 “ 目录 ” 下的 “ 数据库 ” 中选择 rl_hybridsalesdb 上的单选按钮 。从 “ 操作 ” 下 拉菜单 中选择 “向 目标 授权 ”。
10. 为 IAM 用户和角色选择 数据分析师 。选择 hybridsalesdb 数据库的所有表。在 “ 表格权限 ” 下选择 “选择 ” 。
11. 在 混合访问模式 下，选中 “ 使湖组建权限立即生效 ” 复选框 。
    
12. 通过左侧导航栏上的数据 湖权限 选项卡查看和验证授予 数据分析师的权限 。
    
13. 以 Lake Formation 管理员角色登出。

以数据分析师身份验证湖泊形成权限

1. 以 数据分析师 身份重新登录控制台。
2. 打开雅典娜控制台。如果您是首次使用 Athena，请按照 指定查询结果位置中所述设置您的 S3 存储桶的查询结果位置 。
   • 在 查询编辑器 页面 的数据下，为数据 源选择 AWSDataDatalog 。 对于 表格 ，选择任意表格名称旁边的三个点。选择 “ 预览表 ” 以运行查询。
     
3. 以数据分析师身份登录。

验证数据工程师的 IAM 和 S3 权限

1. 以 数据工程师 身份重新登录控制台。
2. 使用与场景 1 相同的步骤，通过在 亚马逊云科技 Glue Studio 中运行 亚马逊云科技 Glue ETL 脚本来验证 IAM 和 S3 的访问权限。

您已向新角色 数据分析师 添加了 Lake Formation 权限 ，而无需中断跨账户共享用例 对 数据工程师 的现有 IAM 和 S3 访问权限。

清理

如果您在本博客文章中使用了 S3 中的示例数据集，我们建议您移除数据库中数据分析师角色和跨账户授予的相关 Lake Formation 权限。您还可以移除混合访问模式选择加入并从 Lake Formation 中删除 S3 存储桶注册。删除生产者和消费者账户的所有 Lake Formation 权限后，您可以删除数据分析师和数据工程师 IAM 角色。

注意事项

目前，只有 Lake Formation 管理员角色可以选择让其他用户使用资源的 Lake Formation 权限，因为使用 Lake Formation 或 IAM 和 S3 权限选择用户访问权限是一项管理任务，需要充分了解您的组织数据访问设置。此外，您可以仅使用命名资源方法授予权限并同时选择加入，而不是 LF-tags。如果您使用 LF 标签来授予权限，我们建议您在授予权限后使用左侧导航栏上的 混合访问模式 选项选择加入（或使用 亚马逊云科技 开发工具包或 亚马逊云科技 CLI 的等效的 createLakeformationOptin () API）作为后续步骤。

结论

在这篇博客文章中，我们介绍了为数据目录设置混合访问模式的步骤。您学习了如何有选择地让用户加入 Lake Formation 权限模型。通过 IAM 和 S3 权限进行访问的用户可以继续不受干扰地进行访问。您可以使用 Lake Formation 添加对数据目录表的细粒度访问权限，使您的业务分析师能够使用亚马逊 Athena 和亚马逊 Redshift Spectrum 进行查询，而您的数据科学家则可以使用 Amazon Sagemaker 浏览相同的数据。数据工程师可以继续使用他们对相同数据的 IAM 和 S3 权限，使用 Amazon EMR 和 亚马逊云科技 Glue 运行工作负载。数据目录的混合访问模式支持对数据进行各种分析用例，而无需重复数据。

要开始使用，请参阅 混合访问模式 的文档 。我们鼓励您查看该功能并在评论部分分享您的反馈。我们期待您的回复。

作者简介

Aarthi Srinivasan 是 亚马逊云科技 Lake Formation 的高级大数据架构师。她喜欢为 亚马逊云科技 客户和合作伙伴构建数据湖解决方案。不使用键盘时，她会探索最新的科学和技术趋势，并与家人共度时光。