Estudio de Amazon EMR es un entorno de desarrollo integrado (IDE) que facilita a los científicos e ingenieros de datos desarrollar, visualizar y depurar aplicaciones de ingeniería y ciencia de datos escritas en R, Python, Scala y PySpark. EMR Studio proporciona herramientas y notebooks Jupyter totalmente administrados, como Spark UI y YARN Timeline Server a través de EMR Studio Workspaces. Puede conectar un espacio de trabajo de EMR Studio a un clúster de EMR y utilizar la potencia informática del clúster de EMR y ejecutar trabajos de ciencia de datos en el clúster. Los datos a menudo se almacenan en lagos de datos administrados por Formación del lago AWS, lo que le permite aplicar un control de acceso detallado a través de un simple mecanismo de concesión o revocación.
Estamos felices de presentar roles de tiempo de ejecución para espacios de trabajo de EMR Studio. Ahora puede definir una función de tiempo de ejecución y asignarla a un clúster de EMR al adjuntar un espacio de trabajo de EMR Studio. Los trabajos en el clúster de EMR utilizarán esta función de tiempo de ejecución para acceder a los recursos de AWS. Después de configurar una función de tiempo de ejecución, también puede usar Lake Formation y aplicar un control de acceso a datos detallado para los trabajos enviados por EMR Studio Workspace.
Anteriormente, al adjuntar espacios de trabajo de EMR Studio a clústeres de EMR, todos los espacios de trabajo tenían que usar el mismo Gestión de identidades y accesos de AWS (IAM), es decir, el rol del clúster. Nube informática elástica de Amazon (Amazon EC2) perfil de instancia. Por lo tanto, todos los espacios de trabajo adjuntos al mismo clúster de EMR tenían el mismo acceso a los datos. Para controlar el acceso a las fuentes de datos, cada espacio de trabajo de EMR Studio tenía que utilizar un clúster de EMR diferente y se necesitaban varios perfiles de instancia de EMR.
A partir del lanzamiento de Amazon EMR 6.11, ahora puede elegir una función de tiempo de ejecución al asociar un espacio de trabajo de EMR Studio a un clúster de EMR. Esta función de tiempo de ejecución limita el acceso al nivel del espacio de trabajo. Sus trabajos de Apache Livy y Apache Spark que se ejecutan desde los espacios de trabajo de EMR Studio tendrán permiso para acceder solo a los datos y recursos permitidos por las políticas adjuntas a la función de tiempo de ejecución. Además, cuando se accede a los datos desde lagos de datos administrados con Lake Formation, puede aplicar un control de acceso a datos detallado utilizando los permisos de Lake Formation. Esto le ayuda a reducir los gastos operativos.
En esta publicación, demostramos cómo configurar roles de tiempo de ejecución para espacios de trabajo de EMR Studio y adjuntar un espacio de trabajo a un clúster de EMR con roles de tiempo de ejecución. Dado que las grandes empresas suelen utilizar varias cuentas de AWS y muchas de esas cuentas pueden necesitar acceso a un lago de datos administrado por una única cuenta de AWS, en nuestro ejemplo se utilizan dos cuentas de AWS. Explicamos cómo controlar el acceso a las funciones de tiempo de ejecución de EMR Studio, administrar el acceso a datos entre cuentas en un lago de datos a través de Lake Formation y aplicar permisos a nivel de tabla y de columna a las funciones de tiempo de ejecución de EMR.
Resumen de la solución
Para demostrar un control de acceso detallado, creamos un ejemplo Pegamento AWS base de datos llamada empresa y administrar el permiso de la base de datos en Lake Formation. La base de datos consta de dos tablas separadas:
- personas – Esta tabla almacena información sobre los empleados de la empresa, incluido el ID del empleado, el nombre, el departamento y el salario.
- productos – Esta tabla almacena información sobre los productos vendidos por la empresa, incluido el ID del producto, el nombre, la categoría y el precio.
Para demostrar el control de acceso a los datos, consideramos a los siguientes usuarios de datos:
- Alice, científica de datos del equipo de ventas. – Debería tener acceso de solo lectura a todas las columnas del
products
tabla y columnas seleccionadas, incluido uID, nombre y departamento en elemployees
mesa - Bob, científico de datos del equipo de recursos humanos. – Debería tener acceso de solo lectura a todas las columnas de
employees
mesa y no debe tener acceso a laproducts
mesa
Para demostrar el intercambio de datos entre cuentas, consideramos dos cuentas:
- Cuenta del productor de datos – Nos referimos a esta cuenta como
123456789012
en esta publicación. Esta cuenta gestiona los datos sin procesar en Servicio de almacenamiento simple de Amazon (Amazon S3) y escribe datos en el lago de datos. Elcompany
La base de datos y las tablas deben estar en esta cuenta. - Cuenta de consumidor de datos – Nos referimos a esta cuenta como
111122223333
en esta publicación. Los usuarios acceden directamente a esta cuenta para el análisis de datos y no tienen acceso de escritura a los datos. Alice y Bob deberían poder acceder a esta cuenta.
La arquitectura se implementa de la siguiente manera:
- La cuenta del productor de datos gestiona un lago de datos. Los datos sin procesar se almacenan en depósitos de S3 y se catalogan en el catálogo de datos de AWS Glue.
- Lake Formation en la cuenta del productor de datos rige el acceso a los datos a través del Catálogo de datos y proporciona intercambio de datos entre cuentas con la cuenta del consumidor de datos.
- Lake Formation en la cuenta del consumidor de datos rige el acceso entre cuentas al lago de datos a nivel de tabla y los permisos detallados de Lake Formation. Para obtener más información, consulte Métodos para el control de acceso detallado.
- Los espacios de trabajo de EMR Studio en la cuenta del consumidor de datos utilizan roles de tiempo de ejecución cuando ejecutan trabajos en un clúster de EMR.
- El clúster de EMR se conecta a Glue Data Catalog en la cuenta del consumidor de datos y consulta los datos del lago de datos mediante el intercambio de datos entre cuentas.
El siguiente diagrama ilustra esta arquitectura.
En las siguientes secciones, analizamos los pasos para compartir datos entre cuentas a través de Lake Formation, ejecutar un espacio de trabajo de EMR Studio con roles de tiempo de ejecución y demostrar un control de acceso detallado.
Requisitos previos
Debe tener los siguientes requisitos previos:
Crear la infraestructura en la cuenta del productor de datos.
Complete los siguientes pasos para crear los recursos de infraestructura:
- Inicie sesión en la cuenta de AWS del productor de datos (
123456789012
). - Elige Pila de lanzamiento implementar una plantilla de CloudFormation para crear los recursos necesarios.
- DataLakeBucketSufijo, ingrese el sufijo del depósito S3 utilizado por el lago de datos. El nombre completo del depósito S3 que se creará será
{AwsAccoundId}-{AwsRegion}-{DataLakeBucketSuffix}
. - Después de crear la pila de CloudFormation, vaya a la Salidas pestaña de la pila y capturar el valor de
DataLakeS3Bucket
para usar en el siguiente paso.
Cree archivos de datos y cárguelos en Amazon S3 en la cuenta del productor de datos.
Configure su AWS CLI para utilizar la identidad de IAM con permiso para cargar en DataLakeS3BucketName en la cuenta de AWS del productor de datos (123456789012
), o puede iniciar sesión en CloudShell usando el Consola de administración de AWS. Complete los siguientes pasos:
- En su máquina local, vaya a un directorio de su elección con el comando cd, por ejemplo,
cd ~
. - Ejecute el guión
chmod 744 create_sample_data.sh && ./create_sample_data.sh <DataLakeS3BucketName>
.
El script creará un subdirectorio. tmp
en su directorio de trabajo actual, cree los datos de prueba en archivos CSV y cargue los archivos en el DataLakeS3BucketName
Cubo S3.
Configure Lake Formation en la cuenta del productor de datos
En esta sección, explicamos los pasos para configurar Lake Formation en la cuenta del productor de datos.
Configurar la configuración de la versión para compartir datos entre cuentas de Lake Formation
Lake Formation admite múltiples versiones para compartir datos. Para esta publicación, utilizamos la versión 3. Para obtener más información sobre las diferencias entre las versiones para compartir datos, consulte Actualización de la configuración de la versión para compartir datos entre cuentas. Para cambiar la versión de intercambio de datos, consulte Para habilitar la nueva versión.
Registre la ubicación de Amazon S3 como ubicación del lago de datos
Cuando registrar una ubicación de Amazon S3 con Lake Formation, usted especifica una función de IAM con permisos de lectura/escritura en esa ubicación. Después de registrarse, cuando los clústeres de EMR soliciten acceso a esta ubicación de Amazon S3, Lake Formation proporcionará credenciales temporales de la función proporcionada para acceder a los datos. Ya creamos el rol. LakeFormationCompanyDatabaseDataAccessRole
para ello en el paso anterior. Para registrar la ubicación de Amazon S3 como ubicación del lago de datos, complete los siguientes pasos:
- Abra la consola de Lake Formation con el administrador del lago de datos de Lake Formation en la cuenta del productor de datos (
123456789012
). - En el panel de navegación, elija Ubicaciones de data lake bajo Administración.
- Elige Registrar ubicación.
- Ruta de Amazon S3, introduzca
s3://<DataLakeS3BucketName>/company-database
. - Rol de IAM, introduzca
LakeFormationCompanyDatabaseDataAccessRole
. - modo de permiso, seleccione Formación del lago.
- Elige Registrar ubicación.
Revocar los permisos otorgados a IAMAllovedPrincipals
El proyecto IAMAllowedPrincipals
El grupo incluye todos los usuarios y roles de IAM a los que sus políticas de IAM les permiten acceder a sus recursos del catálogo de datos. A hacer cumplir el modelo de formación del lago, Necesitamos que revocar el permiso de IAMAllovedPrincipals siguiendo los siguientes pasos:
- Abra la consola de Lake Formation con el administrador del lago de datos de Lake Formation en la cuenta del productor de datos.
- En el panel de navegación, elija Permisos del lago de datos en Permisos.
- Filtrar permisos por
Database = company
yPrinciple=IAMAllowedPrinciples
. - Seleccione todos los permisos otorgados al director.
IAMAllowedPrincipals
y elige Revocar.
Configurar los ajustes de integración de aplicaciones
Para aplicar permisos para el clúster de EMR, debe registrar un valor de etiqueta de sesión con Lake Formation. Lake Formation utiliza esta etiqueta de sesión para autorizar a las personas que llaman y proporcionar acceso al lago de datos. nos registramos Amazon EMR
como valor de etiqueta de sesión. Este valor será referenciado en el configuración de seguridad al crear el clúster EMR.
Configure la etiqueta de sesión siguiendo los siguientes pasos:
- Abra la consola de Lake Formation con el administrador del lago de datos de Lake Formation en la cuenta del productor de datos.
- Elige Configuración de integración de aplicaciones bajo Administración en el panel de navegación.
- Seleccione Permitir que motores externos filtren datos en ubicaciones de Amazon S3 registradas con Lake Formation.
- Valores de etiqueta de sesión, introduzca
Amazon EMR
. - ID de cuenta de AWS, ingrese el ID de la cuenta de AWS del consumidor de datos (
111122223333
). - Elige Guardar.
Comparta la base de datos y las tablas con la cuenta del consumidor de datos
Ahora otorgamos permisos a la cuenta de AWS del consumidor de datos, incluidos los permisos otorgables. Esto permite que el administrador del lago de datos de Lake Formation en la cuenta del consumidor de datos controle el acceso a los datos dentro de la cuenta.
Otorgar permisos de base de datos a la cuenta del consumidor de datos
Complete los siguientes pasos:
- Abra la consola de Lake Formation con el administrador del lago de datos de Lake Formation en la cuenta del productor de datos.
- En el panel de navegación, elija Bases de datos.
- Seleccione la base de datos
company
y en el Acciones menú, debajo Permisos, escoger Grant. - En Principios sección, seleccionar Cuentas externas e ingrese la cuenta de AWS del consumidor de datos (
111122223333
). - En LF-Tags o recursos del catálogo sección, elija
company
para Bases de datos. - En Permisos de la base de datos sección, seleccionar Describir por tanto Permisos de la base de datos y Permisos concedidos.
Esto permite que el administrador del lago de datos en la cuenta del consumidor de datos describa la base de datos y otorgue permisos de descripción a otras entidades principales en la cuenta del consumidor de datos.
- Elige Grant.
Otorgar permisos de tabla a la cuenta del consumidor de datos
Complete los siguientes pasos:
- Abra la consola de Lake Formation con el administrador del lago de datos de Lake Formation en la cuenta del productor de datos.
- En el panel de navegación, elija Mesas.
- Seleccione
products
tabla, que pertenece a lacompany
base de datos, y en la Acciones menú, debajo Permisos, escoger Grant. - En Principios sección, seleccionar Cuentas externas e ingrese la cuenta de AWS del consumidor de datos (
111122223333
). - En LF-Tags o recursos del catálogo sección, seleccionar Recursos de catálogo de datos con nombre y especifique lo siguiente:
- Bases de datos, escoger
company
. - Mesas, escoger
products
yemployees
.
- Bases de datos, escoger
- En Permisos de mesa sección, elija Seleccione y Describir por tanto Permisos de mesa y Permisos concedidos.
Esto permite que el administrador del lago de datos en la cuenta del consumidor de datos seleccione y describa las tablas, y otorgue permisos de selección y descripción de tablas a otras entidades principales en la cuenta del consumidor de datos.
- En Permisos de datos sección, seleccionar Todos los datos de acceso.
- Elige Grant.
Ahora hemos terminado de configurar la cuenta del productor de datos.
Configurar la infraestructura en la cuenta del consumidor de datos
Complete los siguientes pasos para crear los recursos de infraestructura:
- Inicie sesión en la cuenta del consumidor de datos (
111122223333
). - Elige Pila de lanzamiento implementar una plantilla de CloudFormation para crear los recursos necesarios.
- Etiqueta de lanzamiento, ingrese la etiqueta de versión de Amazon EMR que desea usar, que solo puede ser emr-6.11 o superior.
- Tipo de instancia, elija el tipo de instancia para el clúster EMR, como r4.4xlarge.
- EMRS3NombredelDepósitoSufijo, ingrese el sufijo del depósito S3 para almacenar registros del clúster EMR y archivos del cuaderno EMR. El nombre completo del depósito S3 que se creará será
{AWSAccoundId}-{AWSRegion}-{EMRS3BucketNameSuffix}
. - Certificado S3PathToInTransit, ingrese la ruta S3 para el archivo .zip que contiene los archivos .pem utilizados para el cifrado en tránsito.
Para obtener instrucciones sobre cómo crear el archivo .zip que contiene los archivos .pem y cargarlos en su depósito S3, consulte Proporcionar certificados para cifrar datos en tránsito con cifrado de Amazon EMR.
- Después de crear la pila de CloudFormation, vaya a la Salidas pestaña de la pila.
- Captar el valor de
EMRStudioLink
que se utilizará para iniciar sesión en EMR Studio.
Aceptar el recurso compartido en la cuenta del consumidor de datos
Para acceder a los recursos compartidos, primero debes aceptar la invitación.
- Abra la consola de AWS RAM de la cuenta del consumidor de datos con la identidad de IAM que tiene acceso a AWS RAM.
- En el panel de navegación, elija Recursos compartidos bajo Comparte conmigo.
Debería ver dos recursos compartidos pendientes de la cuenta del productor de datos.
- Acepte ambos recursos compartidos.
Deberías ver el company
base de datos, employees
mesa, y products
tabla en el catálogo de datos.
Configure Lake Formation en la cuenta del consumidor de datos
En esta sección, explicamos los pasos para configurar Lake Formation en la cuenta del consumidor de datos.
Configurar los ajustes de integración de aplicaciones
De manera similar a la configuración en la cuenta del productor de datos, debe registrar Amazon EMR como etiqueta de sesión. Este valor está referenciado en el configuración de seguridad al crear el clúster EMR en la pila de CloudFormation.
Para ello, complete los siguientes pasos:
- Abra la consola de Lake Formation con el administrador del lago de datos de Lake Formation en la cuenta del consumidor de datos (
111122223333
). - Elige Configuración de integración de aplicaciones bajo Administración en el panel de navegación.
- Seleccione Permitir que motores externos filtren datos en ubicaciones de Amazon S3 registradas con Lake Formation.
- Valores de etiqueta de sesión, introduzca
Amazon EMR
. - ID de cuenta de AWS, ingrese el ID de la cuenta de AWS del consumidor de datos (
111122223333
). - Elige Guardar.
Conceder permisos de descripción para roles de tiempo de ejecución en la base de datos predeterminada
Si no tiene una base de datos predeterminada en Lake Formation, o su base de datos predeterminada ya tiene permisos para otorgar IAMAllowedPrinciples
, puede omitir este paso.
Amazon EMR comprobará la base de datos predeterminada de forma predeterminada. Si ya tiene una base de datos predeterminada en Lake Formation, otorgue el permiso de descripción a los roles de tiempo de ejecución en la base de datos predeterminada completando los siguientes pasos:
- Abra la consola de Lake Formation con el usuario administrador del lago de datos de Lake Formation en la cuenta del consumidor de datos.
- En el panel de navegación, elija Bases de datos.
- Seleccione la base de datos predeterminada, verifique que el ID de la cuenta del propietario sea la cuenta del consumidor de datos (
111122223333
), y en el Acciones menú, seleccione Grant. - En Sección de principios, seleccione Usuarios y roles de IAM.
- Usuarios y roles de IAM, escoger
sales-runtime-role
yhuman-resource-runtime-role
. - LF-Tags o recursos del catálogo, seleccione Recursos de catálogo de datos con nombre y elija predeterminado para Bases de datos.
- En Permisos de la base de datos sección, para Permisos de la base de datos, escoger Describir.
- Elige Grant.
Crear un enlace de recursos para la base de datos compartida
Para acceder a la base de datos y a los recursos de tablas que fueron compartidos por la cuenta de AWS del productor de datos, debe crear una enlace de recursos en la cuenta de AWS del consumidor de datos. Un vínculo de recurso es un objeto del catálogo de datos que es un vínculo a una base de datos o tabla local o compartida. Después de crear un vínculo de recurso a una base de datos o tabla, puede usar el nombre del vínculo de recurso donde quiera que use el nombre de la base de datos o de la tabla. En este paso, otorga permiso sobre los vínculos de recursos a los principios del rol de tiempo de ejecución. Luego, los roles de tiempo de ejecución accederán a los datos en bases de datos compartidas y tablas subyacentes a través del enlace de recursos.
Para crear un enlace de recursos, complete los siguientes pasos:
- Abra la consola de Lake Formation con el administrador del lago de datos de Lake Formation en la cuenta del consumidor de datos.
- En el panel de navegación, elija Bases de datos.
- Seleccione
company
base de datos, verifique que el ID de la cuenta del propietario sea la cuenta del productor de datos (123456789012
), y en el Acciones menú, seleccione Crear enlaces de recursos. - Nombre del enlace de recurso, ingrese el nombre del enlace del recurso (por ejemplo,
company-shared
). - Región de la base de datos compartida, elija la Región del
company
base de datos. - Base de datos compartida, elija la base de datos de la empresa.
- ID del propietario de la base de datos compartida, ingrese el ID de la cuenta del productor de datos (
123456789012
). - Elige Crear.
Conceder permisos en el enlace de recursos al principio de función de tiempo de ejecución
Otorgue permisos en el enlace de recursos a sales-runtime-role y human-resource-runtime-role siguiendo los siguientes pasos:
- Abra la consola de Lake Formation con el administrador del lago de datos de Lake Formation en la cuenta del consumidor de datos.
- En el panel de navegación, elija Bases de datos.
- Seleccione el enlace del recurso (
company-shared
) y en el Acciones menú, seleccione Grant. - En Principios sección, seleccionar Usuarios y roles de IAM, y elige
sales-runtime-role
yhuman-resource-runtime-role
. - En LF-Tags o recursos del catálogo sección, para Bases de datos, escoger
company-shared
. - En Permisos de enlace de recursos sección, seleccionar Describir.
Esto permite que los roles de tiempo de ejecución describan el enlace del recurso. No realizamos ninguna selección de permisos otorgables porque los roles de tiempo de ejecución no deberían poder otorgar permisos a otros principios.
- Elige Grant.
Conceder permiso sobre las tablas al principio de rol de tiempo de ejecución
Debe otorgar permisos en las tablas para sales-runtime-role
y human-resource-runtime-role
para permitir el acceso a los datos:
Human-resource-runtime-role
debe tener permisos de descripción y selección en todas las columnas delemployees
mesa, y no hay permisos en laproducts
mesa.Sales-runtime-role
debería tener permisos de selección en las columnasuid
,name
ydepartment
existentesemployees
tabla y describir y seleccionar permisos en todas las columnas de laproducts
mesa.
Conceder permiso en la tabla de empleados al rol de tiempo de ejecución de recursos humanos
Complete los siguientes pasos:
- Abra la consola de Lake Formation con el administrador del lago de datos de Lake Formation en la cuenta del consumidor de datos.
- En el panel de navegación, elija Bases de datos.
- Seleccione el enlace del recurso (
company-shared
) y en el Acciones menú, seleccione Subvención en el objetivo. - En Sección de principios, seleccione Usuarios y roles de IAM, A continuación, elija
human-resource-runtime-role
. - En LF-Tags o recursos del catálogo sección, seleccionar Recursos de catálogo de datos con nombre y especifique lo siguiente:
- Bases de datos, escoger
company
. - Mesasescoger
employees
.
- Bases de datos, escoger
- En Permisos de mesa sección, para Permisos de mesa, seleccione Describir y Seleccione.
- En Permisos de datos sección, seleccionar Todos los datos de acceso.
- Elige Grant.
Conceder permiso en la tabla de empleados a sales-runtime-role
Complete los siguientes pasos:
- Abra la consola de Lake Formation con el administrador del lago de datos de Lake Formation en la cuenta del consumidor de datos.
- En el panel de navegación, elija Bases de datos.
- Seleccione el enlace del recurso (
company-shared
) y en el Acciones menú, seleccione Subvención en el objetivo. - En Sección de principios, seleccione Usuarios y roles de IAM, A continuación, elija
sales-runtime-role
. - En LF-Tags o recursos del catálogo sección, seleccionar Recursos de catálogo de datos con nombre y especifique lo siguiente:
- Bases de datos, escoger
company
. - Mesas, escoger
employees
.
- Bases de datos, escoger
- En Permisos de mesa sección, para Permisos de mesa, seleccione Seleccione.
- En Permisos de datos sección, seleccionar Acceso basado en columnas.
- Seleccione Incluir columnas Y elige la
uid
,name
ydepartment
columnas - Elige Grant.
Conceder permiso en la tabla de productos a sales-runtime-role
Complete los siguientes pasos:
- Abra la consola de Lake Formation con el administrador del lago de datos de Lake Formation en la cuenta del consumidor de datos.
- En el panel de navegación, elija Bases de datos.
- Seleccione el enlace del recurso (
company-shared
) y en el Acciones menú, seleccione Subvención en el objetivo. - En Sección de principios, seleccione Usuarios y roles de IAM, A continuación, elija
sales-runtime-role
. - En LF-Tags o recursos del catálogo sección, seleccionar Recursos de catálogo de datos con nombre y especifique lo siguiente:
- Bases de datos, escoger
company
. - Mesas, escoger
products
.
- Bases de datos, escoger
- En Permisos de mesa sección, para Permisos de mesa, seleccione Seleccione y Describir.
- En Permisos de datos sección, seleccionar Todos los datos de acceso.
- Elige Grant.
Inicie sesión en EMR Studio y utilice el espacio de trabajo de EMR Studio
Cambia tu rol a alice-role
or bob-role
en la consola usando diferentes navegadores web para probar el acceso. Abre el EMRStudioLink
URL de la salida de la pila de CloudFormation para iniciar sesión en EMR Studio con cada función y luego complete los siguientes pasos:
- Elige Espacios de trabajo en el panel de navegación y seleccione Crear espacio de trabajo.
- Ingrese un nombre y una descripción para el espacio de trabajo.
- Elige Crear espacio de trabajo.
Se abrirá automáticamente una nueva pestaña que contiene JupyterLab cuando el espacio de trabajo esté listo. Habilite las ventanas emergentes en su navegador si es necesario.
- Elige el Calcular en el panel de navegación para adjuntar el espacio de trabajo de EMR Studio con un motor informático.
- Seleccione Clúster EMR en EC2 para Tipo de cálculo.
- Elija el ID del clúster de EMR que creó con AWS CloudFormation.
- Rol de tiempo de ejecución, escoger
sales-runtime-role
si ha iniciado sesión comoalice-role
. Escogerhuman-resource-runtime-role
si ha iniciado sesión comobob-role
. - Elige Adjuntar.
Ejecute código en EMR Studio Workspace y verifique el acceso a los datos
Ejecute el siguiente código en EMR Studio Workspace con un kernel PySpark después de iniciar sesión con alice-role o bob-role:
Deberías ver resultados diferentes al utilizar diferentes roles.
De acuerdo con nuestra configuración de acceso a datos en Lake Formation, Alice tendrá acceso completo a los datos para el products
mesa. Puede ver todas las columnas excepto el salario en la employees
mesa.
Para Bob, de acuerdo con nuestra configuración de acceso a datos en Lake Formation, tendrá acceso completo a los datos del employees
mesa, pero no tiene acceso a la products
mesa.
Limpiar
Cuando haya terminado de experimentar con esta solución, limpie sus recursos:
- Detenga y elimine los espacios de trabajo de EMR Studio creados en la cuenta de AWS del consumidor de datos.
- Eliminar todo el contenido del depósito S3
EMRS3Bucket
en la cuenta de AWS del consumidor de datos. - Elimine la pila de CloudFormation en la cuenta de AWS del consumidor de datos.
- Eliminar todo el contenido del depósito S3
DataLakeS3Bucket
en la cuenta de AWS del productor de datos. - Elimine la pila de CloudFormation en la cuenta de AWS del productor de datos.
Conclusión
Esta publicación mostró cómo puede usar roles de tiempo de ejecución para conectarse a un espacio de trabajo de EMR Studio con Amazon EMR para aplicar un control de acceso a datos detallado entre cuentas con Lake Formation. También demostramos cómo varios usuarios de EMR Studio pueden conectarse al mismo clúster de EMR, cada uno utilizando una función de tiempo de ejecución con permisos que coinciden con su nivel individual de acceso a los datos.
Para obtener más información sobre el uso de EMR Studio Workspaces con Lake Formation, consulte Ejecute un espacio de trabajo de EMR Studio con una función de tiempo de ejecución. Le animamos a que pruebe esta nueva funcionalidad y se conecte con nosotros si tiene alguna pregunta o comentario.
Acerca de los autores
ashley zhou es ingeniero de desarrollo de software en AWS. Está interesada en análisis de datos y sistemas distribuidos.
Srividya Parthasarathy es Arquitecto Senior de Big Data en el equipo de AWS Lake Formation. Le gusta crear soluciones de malla de datos y análisis en AWS y compartirlas con la comunidad.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://aws.amazon.com/blogs/big-data/use-iam-runtime-roles-with-amazon-emr-studio-workspaces-and-aws-lake-formation-for-cross-account-fine-grained-access-control/
- :posee
- :es
- :no
- $ UP
- 100
- 107
- 11
- 20
- 7
- 8
- a
- Poder
- Nuestra Empresa
- Aceptar
- de la máquina
- Acceso a los datos
- visitada
- accesible
- Conforme
- Mi Cuenta
- Cuentas
- a través de
- Después
- Alicia
- Todos
- permitir
- permitido
- permite
- ya haya utilizado
- también
- Amazon
- Amazon EC2
- EMR de Amazon
- Amazon Web Services
- an
- análisis
- Analytics
- y
- cualquier
- APACHE
- Apache Spark
- Aplicación
- aplicaciones
- Aplicá
- arquitectura
- somos
- AS
- At
- adjuntar
- autorizar
- automáticamente
- AWS
- Formación en la nube de AWS
- Pegamento AWS
- Formación del lago AWS
- BE
- porque
- pertenece
- entre
- Big
- Big Data
- grano
- ambas
- cada navegador
- navegadores
- Construir la
- pero
- by
- PUEDEN
- capturar
- catalogar
- Categoría
- CD
- certificados
- el cambio
- comprobar
- manera?
- Elige
- limpia
- Médico
- código
- Columnas
- vibrante e inclusiva
- compañía
- De la empresa
- completar
- completando
- Calcular
- Configuración
- Contacto
- conecta
- Considerar
- consiste
- Consola
- consumidor
- contiene
- contenido
- control
- Para crear
- creado
- Creamos
- Referencias
- Current
- datos
- acceso a los datos
- análisis de los datos
- Data Analytics
- Lago de datos
- Ciencia de los datos
- científico de datos
- compartir datos
- Base de datos
- bases de datos
- Predeterminado
- definir
- demostrar
- demostrado
- Departamento
- desplegar
- describir
- descripción
- desarrollar
- Desarrollo
- diferencias
- una experiencia diferente
- directamente
- distribuidos
- sistemas distribuidos
- do
- No
- No
- DE INSCRIPCIÓN
- cada una
- Nuestros
- personas
- habilitar
- permitiendo
- fomentar
- cifrado
- hacer cumplir
- Motor
- ingeniero
- Ingeniería
- certificados
- motores
- Participar
- empresas
- Entorno
- Éter (ETH)
- ejemplo
- Excepto
- Explicar
- externo
- Archive
- archivos
- filtrar
- Nombre
- siguiendo
- siguiente
- formación
- Desde
- ser completados
- completamente
- a la fatiga
- dado
- Go
- gobierna
- conceder
- concedido
- Grupo procesos
- tenido
- Ahorrar
- Tienen
- he
- ayuda
- Cómo
- Como Hacer
- HTML
- http
- HTTPS
- humana
- RECURSOS HUMANOS
- Recursos Humanos
- AMI
- ID
- Identidad
- if
- ilustra
- implementado
- in
- incluye
- Incluye
- INSTRUMENTO individual
- información
- EN LA MINA
- ejemplo
- Instrucciones
- COMPLETAMENTE
- integración
- interesado
- introducir
- invitación
- IT
- Empleo
- jpg
- Label
- lago
- lagos
- large
- Grandes empresas
- lanzamiento
- APRENDE:
- Nivel
- LIMITE LAS
- LINK
- enlaces
- local
- Ubicación
- Ubicaciones
- máquina
- para lograr
- HACE
- gestionan
- gestionado
- Management
- gestiona
- muchos
- pareo
- mecanismo
- Menú
- malla
- podría
- más,
- movimiento
- múltiples
- debe
- nombre
- Llamado
- Navegar
- Navegación
- necesario
- ¿ Necesita ayuda
- Nuevo
- Next
- no
- cuaderno
- ordenadores portátiles
- ahora
- objeto
- of
- a menudo
- on
- , solamente
- habiertos
- operativos.
- or
- Otro
- nuestros
- salir
- salida
- propietario
- cristal
- camino
- pendiente
- permiso
- permisos
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- políticas
- Publicación
- industria
- requisitos previos
- anterior
- Director de la escuela
- directores
- principio
- principios
- productor
- Producto
- Productos
- Mi Perfil
- Perfiles
- proporcionar
- previsto
- proporciona un
- propósito
- Python
- consultas
- Preguntas
- R
- RAM
- Crudo
- datos en bruto
- ready
- reducir
- remitir
- región
- registrarte
- registrado
- registrarse
- ,
- solicita
- Recurso
- Recursos
- resultado
- Resultados
- Función
- También soy miembro del cuerpo docente de World Extreme Medicine (WEM) y embajadora europea de igualdad para The Transformational Travel Council (TTC). En mi tiempo libre, soy una incansable aventurera, escaladora, patrona de día, buceadora y defensora de la igualdad de género en el deporte y la aventura. En XNUMX, fundé Almas Libres, una ONG nacida para involucrar, educar y empoderar a mujeres y niñas a través del deporte urbano, la cultura y la tecnología.
- Ejecutar
- correr
- sueldo
- ventas
- mismo
- Scala
- Ciencia:
- Científico
- los científicos
- guión
- Sección
- (secciones)
- ver
- seleccionado
- mayor
- separado
- servidor
- Servicios
- Sesión
- set
- pólipo
- ajustes
- Configure
- Compartir
- compartido
- Acciones
- compartir
- ella
- tienes
- mostró
- firmar
- firmado
- firma
- sencillos
- soltero
- Software
- Desarrollo de software ad-hoc
- vendido
- a medida
- Soluciones
- Fuentes
- Spark
- montón
- paso
- pasos
- STORAGE
- tienda
- almacenados
- tiendas
- sencillo
- estudio
- Subido
- tal
- suministro
- soportes
- Todas las funciones a su disposición
- mesa
- ETIQUETA
- equipo
- plantilla
- temporal
- test
- esa
- El proyecto
- su
- Les
- luego
- por lo tanto
- así
- aquellos
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- calendario
- a
- tránsito
- try
- dos
- tipo
- típicamente
- ui
- bajo
- subyacente
- ¿Cómo subir tu libro?
- Enlance
- us
- utilizan el
- usado
- Usuario
- usuarios
- usos
- usando
- propuesta de
- verificar
- versión
- vía
- Ver
- visualizar
- caminar
- we
- web
- navegadores web
- servicios web
- tuvieron
- cuando
- que
- todo
- seguirá
- dentro de
- trabajando
- se
- escribir
- escrito
- yaml
- Usted
- tú
- zephyrnet
- Zip