Amazon EMR Studio er et integreret udviklingsmiljø (IDE), der gør det nemt for datavidenskabsfolk og dataingeniører at udvikle, visualisere og fejlsøge datateknik og datavidenskabsapplikationer skrevet i R, Python, Scala og PySpark. EMR Studio leverer fuldt administrerede Jupyter-notebooks og værktøjer såsom Spark UI og YARN Timeline Server via EMR Studio Workspaces. Du kan knytte et EMR Studio Workspace til en EMR-klynge og bruge EMR-klyngens regnekraft og køre datavidenskabsjob på klyngen. Data lagres ofte i datasøer, der administreres af AWS søformation, hvilket gør det muligt for dig at anvende finmasket adgangskontrol gennem en simpel bevillings- eller tilbagekaldelsesmekanisme.
Vi introducerer gerne runtime roller til EMR Studio Workspaces. Du kan nu definere en runtime-rolle og tildele den til en EMR-klynge, når du tilknytter et EMR Studio Workspace. Jobbene på EMR-klyngen vil bruge denne runtime-rolle til at få adgang til AWS-ressourcer. Efter at have konfigureret en runtime-rolle, kan du også bruge Lake Formation og anvende finkornet dataadgangskontrol for de job, der indsendes af EMR Studio Workspace.
Tidligere, når EMR Studio Workspaces blev knyttet til EMR-klynger, skulle alle Workspaces bruge det samme AWS identitets- og adgangsstyring (IAM) rolle – nemlig klyngens Amazon Elastic Compute Cloud (Amazon EC2) instansprofil. Derfor havde alle Workspaces knyttet til den samme EMR-klynge den samme dataadgang. For at kontrollere adgangen til datakilder skulle hvert EMR Studio Workspace bruge en anden EMR-klynge, og der var behov for flere EMR-instansprofiler.
Fra og med udgivelsen af Amazon EMR 6.11 kan du nu vælge en runtime-rolle, når du knytter et EMR Studio Workspace til en EMR-klynge. Denne runtime-rolle omfatter nedadgang på Workspace-niveau. Dine Apache Livy- og Apache Spark-job, der kører fra EMR Studio Workspaces, vil kun have tilladelse til at få adgang til de data og ressourcer, der er tilladt af politikker knyttet til runtime-rollen. Når der også tilgås data fra datasøer, der administreres med Lake Formation, kan du håndhæve finkornet dataadgangskontrol ved hjælp af Lake Formation-tilladelser. Dette hjælper dig med at reducere driftsomkostningerne.
I dette indlæg demonstrerer vi, hvordan man konfigurerer runtime-roller for EMR Studio Workspaces og knytter et Workspace til en EMR-klynge med runtime-roller. Fordi store virksomheder typisk bruger flere AWS-konti, og mange af disse konti muligvis har brug for adgang til en datasø, der administreres af en enkelt AWS-konto, bruger vores eksempel to AWS-konti. Vi forklarer, hvordan man kontrollerer adgangen til EMR Studio-runtime-roller, administrerer dataadgang på tværs af konti i en datasø via Lake Formation og håndhæver tilladelser på tabelniveau og kolonneniveau til EMR-runtime-rollerne.
Løsningsoversigt
For at demonstrere finmasket adgangskontrol laver vi en prøve AWS Lim database navngivet virksomhed og administrere databasetilladelsen i Lake Formation. Databasen består af to separate tabeller:
- medarbejdere – Denne tabel gemmer oplysninger om virksomhedens medarbejdere, herunder medarbejder-id, navn, afdeling og løn
- produkter – Denne tabel gemmer oplysninger om de produkter, der sælges af virksomheden, herunder produkt-id, navn, kategori og pris
For at demonstrere dataadgangskontrol overvejer vi følgende databrugere:
- Alice, en dataforsker i salgsteamet – Hun skal have skrivebeskyttet adgang til alle kolonner i
products
tabel og udvalgte kolonner, herunder uID, navn og afdeling iemployees
bord - Bob, en dataforsker i personaleteamet – Han skal have skrivebeskyttet adgang til alle kolonner i
employees
bord og bør ikke have adgang tilproducts
bord
For at demonstrere datadeling på tværs af konti overvejer vi to konti:
- Dataproducentkonto – Vi omtaler denne konto som
123456789012
i dette indlæg. Denne konto administrerer de rå data i Amazon Simple Storage Service (Amazon S3) og skriver data til datasøen. Detcompany
database og tabeller skal være på denne konto. - Data forbrugerkonto – Vi omtaler denne konto som
111122223333
i dette indlæg. Denne konto tilgås direkte af brugerne til dataanalyse og har ikke skriveadgang til dataene. Denne konto bør være tilgængelig for Alice og Bob.
Arkitekturen er implementeret som følger:
- Dataproducentkontoen administrerer en datasø. Rådata gemmes i S3-spande og katalogiseres i AWS Glue Data Catalog.
- Lake Formation i dataproducentkontoen styrer dataadgangen via datakataloget og giver datadeling på tværs af konti med dataforbrugerkontoen.
- Lake Formation i dataforbrugerkontoen styrer adgang på tværs af konti til datasøen på tabelniveau og finkornede Lake Formation-tilladelser. For mere information, se Metoder til finmasket adgangskontrol.
- EMR Studio Workspaces i dataforbrugerkontoen bruger runtime-roller, når de kører job på en EMR-klynge.
- EMR-klyngen forbinder til Glue Data Catalog i dataforbrugerkontoen og forespørger dataene fra datasøen gennem datadeling på tværs af konti.
Følgende diagram illustrerer denne arkitektur.
I de følgende afsnit gennemgår vi trinene til at dele data på tværs af konti via Lake Formation, køre et EMR Studio Workspace med runtime-roller og demonstrere finmasket adgangskontrol.
Forudsætninger
Du skal have følgende forudsætninger:
Opret infrastrukturen i dataproducentkontoen
Udfør følgende trin for at oprette infrastrukturressourcerne:
- Log ind på dataproducentens AWS-konto (
123456789012
). - Vælg Start Stack at implementere en CloudFormation-skabelon for at skabe de nødvendige ressourcer.
- Til DataLakeBucketSuffix, indtast suffikset for S3-bøtten, der bruges af datasøen. Hele S3-bøttenavnet, der skal oprettes, vil være
{AwsAccoundId}-{AwsRegion}-{DataLakeBucketSuffix}
. - Når CloudFormation-stakken er oprettet, skal du navigere til Udgange fanen på stakken og fange værdien af
DataLakeS3Bucket
til brug i næste trin.
Opret datafiler og upload dem til Amazon S3 på dataproducentkontoen
Konfigurer din AWS CLI til at bruge IAM-identiteten med tilladelse til at uploade til DataLakeS3BucketName i dataproducentens AWS-konto (123456789012
), eller du kan logge ind på CloudShell ved hjælp af AWS Management Console. Udfør følgende trin:
- På din lokale maskine skal du flytte til en mappe efter eget valg med cd-kommandoen, f.eks.
cd ~
. - Kør script med
chmod 744 create_sample_data.sh && ./create_sample_data.sh <DataLakeS3BucketName>
.
Scriptet vil oprette en undermappe tmp
i din nuværende arbejdsmappe, opret testdataene i CSV-filer, og upload filerne til DataLakeS3BucketName
S3 spand.
Konfigurer Lake Formation i dataproducentkontoen
I dette afsnit gennemgår vi trinene til at konfigurere Lake Formation i dataproducentkontoen.
Konfigurer Lake Formation versionsindstillinger for datadeling på tværs af konti
Lake Formation understøtter flere versioner af datadeling. Til dette indlæg bruger vi version 3. For at lære mere om forskellene mellem datadelingsversioner, se Opdatering af versionsindstillinger for datadeling på tværs af konti. For at ændre datadelingsversionen, se For at aktivere den nye version.
Registrer Amazon S3-lokationen som datasøens placering
Når du registrere en Amazon S3-lokation med Lake Formation angiver du en IAM-rolle med læse-/skrivetilladelser på den placering. Efter registrering, når EMR-klynger anmoder om adgang til denne Amazon S3-placering, vil Lake Formation levere midlertidige legitimationsoplysninger for den angivne rolle for at få adgang til dataene. Vi har allerede skabt rollen LakeFormationCompanyDatabaseDataAccessRole
til dette formål i det foregående trin. For at registrere Amazon S3-lokationen som datasøens placering skal du udføre følgende trin:
- Åbn Lake Formation-konsollen med Lake Formation-datasø-administratoren på dataproducentkontoen (
123456789012
). - Vælg i navigationsruden Placering af datasøer under Administration.
- Vælg Registrer placering.
- Til Amazon S3-sti, gå ind
s3://<DataLakeS3BucketName>/company-database
. - Til IAM rolle, gå ind
LakeFormationCompanyDatabaseDataAccessRole
. - Til Tilladelsestilstand, Vælg Søformation.
- Vælg Registrer placering.
Tilbagekald tilladelser givet til IAMAllowedPrincipals
IAMAllowedPrincipals
gruppen omfatter alle IAM-brugere og roller, der har fået adgang til dine datakatalogressourcer i henhold til dine IAM-politikker. Til håndhæve søformationsmodellen, vi er nødt til tilbagekald tilladelse fra IAMAllowedPrincipals ved at bruge følgende trin:
- Åbn Lake Formation-konsollen med Lake Formation-datasø-administratoren på dataproducentkontoen.
- Vælg i navigationsruden Datasø-tilladelser under Tilladelser.
- Filtrer tilladelser efter
Database = company
,Principle=IAMAllowedPrinciples
. - Vælg alle de tilladelser, der er givet til rektor
IAMAllowedPrincipals
Og vælg Tilbagekald.
Konfigurer indstillinger for applikationsintegration
For at håndhæve tilladelser for EMR-klyngen skal du registrere en sessionstagværdi hos Lake Formation. Lake Formation bruger dette sessionstag til at autorisere opkaldere og give adgang til datasøen. Vi tilmelder os Amazon EMR
som sessionstagværdien. Denne værdi vil blive refereret i sikkerhedskonfiguration ved oprettelse af EMR-klyngen.
Konfigurer sessionstagget ved at bruge følgende trin:
- Åbn Lake Formation-konsollen med Lake Formation-datasø-administratoren på dataproducentkontoen.
- Vælg Indstillinger for applikationsintegration under Administration i navigationsruden.
- Type Tillad eksterne motorer at filtrere data på Amazon S3-lokationer, der er registreret hos Lake Formation.
- Til Session tag værdier, gå ind
Amazon EMR
. - Til AWS-konto-id'er, indtast dataforbrugerens AWS-konto-id (
111122223333
). - Vælg Gem.
Del databasen og tabellerne med dataforbrugerkontoen
Vi giver nu tilladelser til dataforbrugerens AWS-konto, inklusive tilladelser, der kan tildeles. Dette giver Lake Formation-datasø-administratoren på dataforbrugerkontoen mulighed for at kontrollere adgangen til dataene på kontoen.
Giv databasetilladelser til dataforbrugerkontoen
Udfør følgende trin:
- Åbn Lake Formation-konsollen med Lake Formation-datasø-administratoren på dataproducentkontoen.
- Vælg i navigationsruden Databaser.
- Vælg databasen
company
, og på handlinger menu, under Tilladelser, vælg Grant. - I Principper sektion, vælg Eksterne konti og indtast dataforbrugerens AWS-konto (
111122223333
). - I LF-tags eller katalogressourcer sektion, skal du vælge
company
forum Databaser. - I Databasetilladelser sektion, vælg Beskriv for både Databasetilladelser , Givbare tilladelser.
Dette giver datasø-administratoren på dataforbrugerkontoen mulighed for at beskrive databasen og give describe-tilladelser til andre principaler på dataforbrugerkontoen.
- Vælg Grant.
Giv tabeltilladelser til dataforbrugerkontoen
Udfør følgende trin:
- Åbn Lake Formation-konsollen med Lake Formation-datasø-administratoren på dataproducentkontoen.
- Vælg i navigationsruden tabeller.
- Vælg
products
bord, som hører tilcompany
database og på handlinger menu, under Tilladelser, vælg Grant. - I Principper sektion, vælg Eksterne konti og indtast dataforbrugerens AWS-konto (
111122223333
). - I LF-tags eller katalogressourcer sektion, vælg Navngivne datakatalogressourcer og angiv følgende:
- Til Databaser, vælg
company
. - Til tabeller, vælg
products
,employees
.
- Til Databaser, vælg
- I Tabeltilladelser sektion, skal du vælge Type , Beskriv for både Tabeltilladelser , Givbare tilladelser.
Dette giver datasø-administratoren i dataforbrugerkontoen mulighed for at vælge og beskrive tabellerne og give tilladelse til at vælge og beskrive tabel til andre principper på dataforbrugerkontoen.
- I Datatilladelser sektion, vælg Al dataadgang.
- Vælg Grant.
Nu er vi færdige med at oprette dataproducentkontoen.
Opsæt infrastrukturen i dataforbrugerkontoen
Udfør følgende trin for at oprette infrastrukturressourcerne:
- Log ind på dataforbrugerkontoen (
111122223333
). - Vælg Start stakken at implementere en CloudFormation-skabelon for at skabe de nødvendige ressourcer.
- Til Frigiv etiket, indtast Amazon EMR release label for at bruge, som kun kan være emr-6.11 eller nyere.
- Til InstanceType, skal du vælge instanstypen for EMR-klynge, såsom r4.4xlarge.
- Til EMRS3BucketNameSuffix, indtast S3 bucket-suffikset for at gemme EMR-klyngelogfiler og EMR-notebook-filer. Det fulde S3-spandnavn, der skal oprettes, vil være
{AWSAccoundId}-{AWSRegion}-{EMRS3BucketNameSuffix}
. - Til S3PathToInTransitCertificate, skal du indtaste S3-stien til .zip-filen, der indeholder de .pem-filer, der bruges til kryptering under transport.
For instruktioner om at oprette .zip-filen, der indeholder .pem-filerne og uploade dem til din S3-bøtte, se Levering af certifikater til kryptering af data under transport med Amazon EMR-kryptering.
- Når CloudFormation-stakken er oprettet, skal du navigere til Udgange fanen på stakken.
- Fang værdien af
EMRStudioLink
til at bruge til at logge ind på EMR Studio.
Accepter ressourceandelen på dataforbrugerkontoen
For at få adgang til delte ressourcer skal du acceptere invitationen først.
- Åbn AWS RAM-konsollen på dataforbrugerkontoen med den IAM-identitet, der har AWS RAM-adgang.
- Vælg i navigationsruden Ressourceandele under Delt med mig.
Du bør se to afventende ressourceandele fra dataproducentkontoen.
- Accepter begge ressourceandele.
Du skal se company
database, employees
bord, og products
tabel i datakataloget.
Konfigurer Lake Formation på dataforbrugerkontoen
I dette afsnit gennemgår vi trinene til at konfigurere Lake Formation på dataforbrugerkontoen.
Konfigurer indstillinger for applikationsintegration
I lighed med opsætningen i dataproducentkontoen skal du registrere Amazon EMR som et sessionstag. Denne værdi er refereret i sikkerhedskonfiguration når du opretter EMR-klyngen i CloudFormation-stakken.
For at gøre det skal du udføre følgende trin:
- Åbn Lake Formation-konsollen med Lake Formation-datasø-administratoren på dataforbrugerkontoen (
111122223333
). - Vælg Indstillinger for applikationsintegration under Administration i navigationsruden.
- Type Tillad eksterne motorer at filtrere data på Amazon S3-lokationer, der er registreret hos Lake Formation.
- Til Session tag værdier, gå ind
Amazon EMR
. - Til AWS-konto-id'er, indtast dataforbrugerens AWS-konto-id (
111122223333
). - Vælg Gem.
Giv en beskrivelse af tilladelser til runtime-roller på standarddatabasen
Hvis du ikke har en standarddatabase i Lake Formation, eller din standarddatabase allerede har tilladelser at give til IAMAllowedPrinciples
, kan du springe dette trin over.
Amazon EMR kontrollerer standarddatabasen som standard. Hvis du allerede har en standarddatabase i din Lake Formation, skal du give describe-tilladelsen til runtime-rollerne på standarddatabasen ved at udføre følgende trin:
- Åbn Lake Formation-konsollen med Lake Formation-datasø-administratorbrugeren på dataforbrugerkontoen.
- Vælg i navigationsruden Databaser.
- Vælg standarddatabasen, bekræft, at ejerkonto-id'et er dataforbrugerkontoen (
111122223333
), og på handlinger menu, vælg Grant. - I Principafsnittet, Vælg IAM brugere og roller.
- Til IAM brugere og roller, vælg
sales-runtime-role
,human-resource-runtime-role
. - Til LF-tags eller katalogressourcer, Vælg Navngivne datakatalogressourcer og vælg standard for Databaser.
- I Databasetilladelser afsnit, for Databasetilladelser, vælg Beskriv.
- Vælg Grant.
Opret et ressourcelink til den delte database
For at få adgang til database- og tabelressourcerne, der blev delt af dataproducentens AWS-konto, skal du oprette en ressource link i dataforbrugerens AWS-konto. Et ressourcelink er et datakatalogobjekt, der er et link til en lokal eller delt database eller tabel. Når du har oprettet et ressourcelink til en database eller tabel, kan du bruge ressourcelinknavnet, uanset hvor du vil bruge database- eller tabelnavnet. I dette trin giver du tilladelse til ressourcelinks til runtime-rolleprincipperne. Runtime-rollerne vil derefter få adgang til dataene i delte databaser og underliggende tabeller via ressourcelinket.
For at oprette et ressourcelink skal du udføre følgende trin:
- Åbn Lake Formation-konsollen med Lake Formation-datasø-administratoren på dataforbrugerkontoen.
- Vælg i navigationsruden Databaser.
- Vælg
company
database, skal du kontrollere, at ejerkonto-id'et er dataproducentkontoen (123456789012
), og på handlinger menu, vælg Opret ressourcelinks. - Til Navn på ressourcelink, indtast navnet på ressourcelinket (f.eks.
company-shared
). - Til Delt databases region, vælg regionen i
company
databasen. - Til Delt database, vælg firmadatabasen.
- Til Delt databases ejer-id, indtast konto-id'et for dataproducentkontoen (
123456789012
). - Vælg Opret.
Giv tilladelser på ressourcelinket til runtime-rolleprincippet
Giv tilladelser på ressourcelinket til salgs-runtime-rolle og human-resource-runtime-rolle ved at bruge følgende trin:
- Åbn Lake Formation-konsollen med Lake Formation-datasø-administratoren på dataforbrugerkontoen.
- Vælg i navigationsruden Databaser.
- Vælg ressourcelinket (
company-shared
) og på handlinger menu, vælg Grant. - I Principper sektion, vælg IAM brugere og roller, og vælg
sales-runtime-role
,human-resource-runtime-role
. - I LF-tags eller katalogressourcer afsnit, for Databaser, vælg
company-shared
. - I Ressourcelinktilladelser sektion, vælg Beskriv.
Dette gør det muligt for runtime-rollerne at beskrive ressourcelinket. Vi foretager ingen valg for tilladelser, der kan tildeles, fordi runtime-roller ikke burde kunne give tilladelser til andre principper.
- Vælg Grant.
Giv tilladelse på tabellerne til runtime-rolleprincippet
Du skal give tilladelser på bordene til sales-runtime-role
, human-resource-runtime-role
for at tillade dataadgang:
Human-resource-runtime-role
skal have beskrive og vælge tilladelser på alle kolonner iemployees
tabel, og ingen tilladelser påproducts
tabel.Sales-runtime-role
skal have udvalgte tilladelser på kolonnerneuid
,name
ogdepartment
iemployees
tabel, og beskriv og vælg tilladelser på alle kolonner iproducts
tabel.
Giv tilladelse på medarbejdertabellen til human-resource-runtime-rolle
Udfør følgende trin:
- Åbn Lake Formation-konsollen med Lake Formation-datasø-administratoren på dataforbrugerkontoen.
- Vælg i navigationsruden Databaser.
- Vælg ressourcelinket (
company-shared
) og på handlinger menu, vælg Grant on Target. - I Principafsnittet, Vælg IAM brugere og roller, Og vælg derefter
human-resource-runtime-role
. - I LF-tags eller katalogressourcer sektion, vælg Navngivne datakatalogressourcer og angiv følgende:
- Til Databaser, vælg
company
. - Til tabeller¸ vælg
employees
.
- Til Databaser, vælg
- I Tabeltilladelser afsnit, for Tabeltilladelser, Vælg Beskriv , Type.
- I Datatilladelser sektion, vælg Al dataadgang.
- Vælg Grant.
Giv tilladelse til medarbejdertabellen til salgs-runtime-rolle
Udfør følgende trin:
- Åbn Lake Formation-konsollen med Lake Formation-datasø-administratoren på dataforbrugerkontoen.
- Vælg i navigationsruden Databaser.
- Vælg ressourcelinket (
company-shared
) og på handlinger menu, vælg Grant on Target. - I Principafsnittet, Vælg IAM brugere og roller, Og vælg derefter
sales-runtime-role
. - I LF-tags eller katalogressourcer sektion, vælg Navngivne datakatalogressourcer og angiv følgende:
- Til Databaser, vælg
company
. - Til tabeller, vælg
employees
.
- Til Databaser, vælg
- I Tabeltilladelser afsnit, for Tabeltilladelser, Vælg Type.
- I Datatilladelser sektion, vælg Kolonnebaseret adgang.
- Type Inkluder kolonner og vælg
uid
,name
ogdepartment
kolonner. - Vælg Grant.
Giv tilladelse på produkttabellen til salgs-runtime-rolle
Udfør følgende trin:
- Åbn Lake Formation-konsollen med Lake Formation-datasø-administratoren på dataforbrugerkontoen.
- Vælg i navigationsruden Databaser.
- Vælg ressourcelinket (
company-shared
) og på handlinger menu, vælg Grant on Target. - I Principafsnittet, Vælg IAM brugere og roller, Og vælg derefter
sales-runtime-role
. - I LF-tags eller katalogressourcer sektion, vælg Navngivne datakatalogressourcer og angiv følgende:
- Til Databaser, vælg
company
. - Til tabeller, vælg
products
.
- Til Databaser, vælg
- I Tabeltilladelser afsnit, for Tabeltilladelser, Vælg Type , Beskriv.
- I Datatilladelser sektion, vælg Al dataadgang.
- Vælg Grant.
Log ind på EMR Studio og brug EMR Studio Workspace
Skift din rolle til alice-role
or bob-role
på konsollen ved hjælp af forskellige webbrowsere for at teste adgangen. Åbn EMRStudioLink
URL fra CloudFormations stak-output for at logge ind på EMR Studio med hver rolle, og udfør derefter følgende trin:
- Vælg arbejdsområder i navigationsruden og vælg Opret arbejdsområde.
- Indtast et navn og en beskrivelse for arbejdsområdet.
- Vælg Opret arbejdsområde.
En ny fane, der indeholder JupyterLab, åbnes automatisk, når Workspace er klar. Aktiver pop op-vinduer i din browser, hvis det er nødvendigt.
- Valgte Compute ikonet i navigationsruden for at vedhæfte EMR Studio Workspace med en computer.
- Type EMR-klynge på EC2 forum Beregningstype.
- Vælg det EMR-klynge-id, du oprettede med AWS CloudFormation.
- Til Runtime rolle, vælg
sales-runtime-role
hvis du er logget ind somalice-role
. Vælghuman-resource-runtime-role
hvis du er logget ind sombob-role
. - Vælg Vedhæft.
Kør kode i EMR Studio Workspace og bekræft dataadgang
Kør følgende kode i EMR Studio Workspace med en PySpark-kerne efter at have logget ind med alice-role eller bob-role:
Du bør se forskellige resultater, når du bruger forskellige roller.
I henhold til vores dataadgangskonfiguration i Lake Formation vil Alice have fuld dataadgang for products
bord. Hun kan se alle kolonnerne undtagen løn i employees
tabel.
For Bob vil han ifølge vores dataadgangskonfiguration i Lake Formation have fuld dataadgang til employees
bord, men han har ikke adgang til products
tabel.
Ryd op
Når du er færdig med at eksperimentere med denne løsning, skal du rydde op i dine ressourcer:
- Stop og slet EMR Studio Workspaces oprettet i dataforbrugerens AWS-konto.
- Slet alt indholdet i S3-bøtten
EMRS3Bucket
i dataforbrugerens AWS-konto. - Slet CloudFormation-stakken i dataforbrugerens AWS-konto.
- Slet alt indholdet i S3-bøtten
DataLakeS3Bucket
i dataproducentens AWS-konto. - Slet CloudFormation-stakken i dataproducentens AWS-konto.
Konklusion
Dette indlæg viste, hvordan du kan bruge runtime-roller til at oprette forbindelse til et EMR Studio Workspace med Amazon EMR for at anvende finmasket dataadgangskontrol på tværs af konti med Lake Formation. Vi demonstrerede også, hvordan flere EMR Studio-brugere kan oprette forbindelse til den samme EMR-klynge, hver ved at bruge en runtime-rolle med tilladelser, der matcher deres individuelle adgangsniveau til data.
For at lære mere om brug af EMR Studio Workspaces med Lake Formation, se Kør et EMR Studio Workspace med en runtime-rolle. Vi opfordrer dig til at prøve denne nye funktionalitet og kontakte os, hvis du har spørgsmål eller feedback!
Om forfatterne
Ashley Zhou er softwareudviklingsingeniør hos AWS. Hun er interesseret i dataanalyse og distribuerede systemer.
Srividya Parthasarathy er Senior Big Data Architect på AWS Lake Formation-teamet. Hun nyder at bygge analyse- og datamesh-løsninger på AWS og dele dem med fællesskabet.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://aws.amazon.com/blogs/big-data/use-iam-runtime-roles-with-amazon-emr-studio-workspaces-and-aws-lake-formation-for-cross-account-fine-grained-access-control/
- :har
- :er
- :ikke
- $OP
- 100
- 107
- 11
- 20
- 7
- 8
- a
- I stand
- Om
- Acceptere
- adgang
- Adgang til data
- af udleverede
- tilgængelig
- Ifølge
- Konto
- Konti
- tværs
- Efter
- alice
- Alle
- tillade
- tilladt
- tillader
- allerede
- også
- Amazon
- Amazon EC2
- Amazon EMR
- Amazon Web Services
- an
- analyse
- analytics
- ,
- enhver
- Apache
- Apache Spark
- Anvendelse
- applikationer
- Indløs
- arkitektur
- ER
- AS
- At
- vedhæfte
- bemyndige
- automatisk
- AWS
- AWS CloudFormation
- AWS Lim
- AWS søformation
- BE
- fordi
- tilhører
- mellem
- Big
- Big data
- bob
- både
- browser
- browsere
- Bygning
- men
- by
- CAN
- fange
- katalog
- Boligtype
- CD
- certifikater
- lave om
- kontrollere
- valg
- Vælg
- ren
- Cluster
- kode
- Kolonner
- samfund
- selskab
- Selskabs
- fuldføre
- færdiggøre
- Compute
- Konfiguration
- Tilslut
- forbinder
- Overvej
- består
- Konsol
- forbruger
- indeholder
- indhold
- kontrol
- skabe
- oprettet
- Oprettelse af
- Legitimationsoplysninger
- Nuværende
- data
- dataadgang
- dataanalyse
- Dataanalyse
- Data Lake
- datalogi
- dataforsker
- datadeling
- Database
- databaser
- Standard
- definere
- demonstrere
- demonstreret
- Afdeling
- indsætte
- beskrive
- beskrivelse
- udvikle
- Udvikling
- forskelle
- forskellige
- direkte
- distribueret
- distribuerede systemer
- do
- Er ikke
- Dont
- ned
- hver
- Medarbejder
- medarbejdere
- muliggøre
- muliggør
- tilskynde
- kryptering
- håndhæve
- Engine (Motor)
- ingeniør
- Engineering
- Ingeniører
- Motorer
- Indtast
- virksomheder
- Miljø
- Ether (ETH)
- eksempel
- Undtagen
- Forklar
- ekstern
- File (Felt)
- Filer
- filtrere
- Fornavn
- efter
- følger
- Til
- formation
- fra
- fuld
- fuldt ud
- funktionalitet
- given
- Go
- regulerer
- indrømme
- bevilget
- gruppe
- havde
- Gem
- Have
- he
- hjælper
- Hvordan
- How To
- HTML
- http
- HTTPS
- menneskelig
- MENNESKELIGE RESSOURCER
- Human Resources
- IAM
- ID
- Identity
- if
- illustrerer
- implementeret
- in
- omfatter
- Herunder
- individuel
- oplysninger
- Infrastruktur
- instans
- anvisninger
- integreret
- integration
- interesseret
- indføre
- invitation
- IT
- Karriere
- jpg
- etiket
- sø
- søer
- stor
- Store virksomheder
- lancere
- LÆR
- Niveau
- GRÆNSE
- LINK
- links
- lokale
- placering
- placeringer
- maskine
- lave
- maerker
- administrere
- lykkedes
- ledelse
- administrerer
- mange
- matchende
- mekanisme
- Menu
- mesh
- måske
- mere
- bevæge sig
- flere
- skal
- navn
- Som hedder
- Naviger
- Navigation
- nødvendig
- Behov
- behov
- Ny
- næste
- ingen
- notesbog
- notesbøger
- nu
- objekt
- of
- tit
- on
- kun
- åbent
- operationelle
- or
- Andet
- vores
- ud
- output
- ejer
- brød
- sti
- verserende
- tilladelse
- Tilladelser
- plato
- Platon Data Intelligence
- PlatoData
- politikker
- Indlæg
- magt
- forudsætninger
- tidligere
- Main
- skoleledere
- princippet
- principper
- producent
- Produkt
- Produkter
- Profil
- Profiler
- give
- forudsat
- giver
- formål
- Python
- forespørgsler
- Spørgsmål
- R
- RAM
- Raw
- rådata
- klar
- reducere
- henvise
- region
- register
- registreret
- registrering
- frigive
- anmode
- ressource
- Ressourcer
- resultere
- Resultater
- roller
- roller
- Kør
- kører
- løn
- salg
- samme
- Scala
- Videnskab
- Videnskabsmand
- forskere
- script
- Sektion
- sektioner
- se
- valgt
- senior
- adskille
- server
- Tjenester
- Session
- sæt
- indstilling
- indstillinger
- setup
- Del
- delt
- Aktier
- deling
- hun
- bør
- viste
- underskrive
- underskrevet
- signering
- Simpelt
- enkelt
- Software
- softwareudvikling
- solgt
- løsninger
- Løsninger
- Kilder
- Spark
- stable
- Trin
- Steps
- opbevaring
- butik
- opbevaret
- forhandler
- ligetil
- Studio
- indsendt
- sådan
- forsyne
- Understøtter
- Systemer
- bord
- TAG
- hold
- skabelon
- midlertidig
- prøve
- at
- deres
- Them
- derefter
- derfor
- denne
- dem
- Gennem
- tidslinje
- til
- værktøjer
- transit
- prøv
- to
- typen
- typisk
- ui
- under
- underliggende
- Uploading
- URL
- us
- brug
- anvendte
- Bruger
- brugere
- bruger
- ved brug af
- værdi
- verificere
- udgave
- via
- Specifikation
- Visualiser
- gå
- we
- web
- Webbrowsere
- webservices
- var
- hvornår
- som
- Hele
- vilje
- med
- inden for
- arbejder
- ville
- skriver
- skriftlig
- yaml
- dig
- Din
- zephyrnet
- Zip