Amazon EMR stuudio on integreeritud arenduskeskkond (IDE), mis muudab andmeteadlaste ja andmeinseneride jaoks R-is, Pythonis, Scalas ja PySparkis kirjutatud andmetehnika ja andmeteaduse rakenduste arendamise, visualiseerimise ja silumise lihtsaks. EMR Studio pakub EMR Studio tööruumide kaudu täielikult hallatavaid Jupyteri märkmikke ja tööriistu, nagu Spark UI ja YARN Timeline Server. Saate EMR-klastri külge ühendada EMR-i stuudio tööruumi ja kasutada EMR-klastri arvutusvõimsust ja käitada klastris andmeteaduse töid. Andmeid hoitakse sageli hallatavates andmejärvedes AWS järve kihistu, mis võimaldab teil lihtsa lubamis- või tühistamismehhanismi kaudu rakendada täpset juurdepääsukontrolli.
Meil on hea meel tutvustada käitusaegsed rollid EMR Studio tööruumide jaoks. Nüüd saate EMR Studio tööruumi lisamisel määratleda käitusaja rolli ja määrata selle EMR-klastrile. EMR-klastri tööd kasutavad seda käitusaegset rolli AWS-i ressurssidele juurdepääsuks. Pärast käitusaja rolli konfigureerimist saate kasutada ka Lake Formationit ja rakendada EMR Studio Workspace'i esitatud töödele täpset andmetele juurdepääsu juhtimist.
Varem pidid EMR Studio tööruumide EMR-klastritesse ühendamisel kõik tööruumid kasutama sama AWS-i identiteedi- ja juurdepääsuhaldus (IAM) roll – nimelt klastri oma Amazon Elastic Compute Cloud (Amazon EC2) eksemplari profiil. Seetõttu oli kõigil sama EMR-klastriga seotud tööruumidel sama juurdepääs andmetele. Andmeallikatele juurdepääsu kontrollimiseks pidi iga EMR Studio Workspace kasutama erinevat EMR-klastrit ja vaja oli mitut EMR-i eksemplari profiili.
Alates Amazon EMR 6.11 väljalaskest saate nüüd valida käitusaja rolli, kui ühendate EMR Studio tööruumi EMR-klastriga. See käitusaegne roll piirab juurdepääsu tööruumi tasemel. Teie EMR Studio tööruumidest töötavatel Apache Livy ja Apache Spark töödel on juurdepääs ainult neile andmetele ja ressurssidele, mis on lubatud käitusaja rolliga seotud poliitikatega. Kui andmetele pääseb juurde Lake Formationiga hallatavatest andmejärvedest, saate Lake Formationi lubade abil jõustada andmetele täpse juurdepääsu kontrolli. See aitab teil vähendada töökulusid.
Selles postituses näitame, kuidas konfigureerida EMR Studio tööruumide käitusaegseid rolle ja lisada tööruumi käitusaegsete rollidega EMR-klastrisse. Kuna suured ettevõtted kasutavad tavaliselt mitut AWS-i kontot ja paljud neist kontodest võivad vajada juurdepääsu ühe AWS-i konto hallatavale andmejärvele, kasutab meie näide kahte AWS-i kontot. Selgitame, kuidas juhtida juurdepääsu EMR Studio käitusaja rollidele, hallata andmetele juurdepääsu andmejärve kontode vahel Lake Formationi kaudu ning jõustada tabeli- ja veerutaseme õigusi EMR-i käitusaja rollidele.
Lahenduse ülevaade
Täpse juurdepääsukontrolli demonstreerimiseks loome näidise AWS liim andmebaasi nimega ettevõte ja hallata andmebaasi õigusi Lake Formationis. Andmebaas koosneb kahest eraldi tabelist:
- töötajad – See tabel salvestab teavet ettevõtte töötajate kohta, sh töötaja ID, nimi, osakond ja palk
- tooted – See tabel salvestab teavet ettevõtte müüdavate toodete kohta, sh toote ID, nimetus, kategooria ja hind
Andmetele juurdepääsu juhtimise demonstreerimiseks võtame arvesse järgmisi andmekasutajaid:
- Alice, müügimeeskonna andmeteadlane – Tal peaks olema kirjutuskaitstud juurdepääs kõikidele veergudele
products
tabel ja valitud veerud, sealhulgas uID, nimi ja osakondemployees
tabel - Bob, personalimeeskonna andmeteadlane – Tal peaks olema kirjutuskaitstud juurdepääs kõikidele veergudele
employees
lauale ja sellel ei tohiks olla juurdepääsuproducts
tabel
Kontoülese andmete jagamise demonstreerimiseks käsitleme kahte kontot.
- Andmete tootja konto – Me nimetame seda kontot kui
123456789012
selles postituses. See konto haldab algandmeid Amazoni lihtne salvestusteenus (Amazon S3) ja kirjutab andmed andmejärve. Thecompany
andmebaas ja tabelid peaksid sellel kontol olema. - Andmete tarbijakonto – Me nimetame seda kontot kui
111122223333
selles postituses. Kasutajad pääsevad sellele kontole andmete analüüsimiseks otse juurde ja tal puudub andmetele kirjutamisõigus. See konto peaks olema Alice'il ja Bobil juurdepääsetav.
Arhitektuuri rakendatakse järgmiselt:
- Andmetootja konto haldab andmejärve. Toorandmed salvestatakse S3 ämbritesse ja kataloogitakse AWS-i liimiandmete kataloogis.
- Andmetootja kontol asuv Lake Formation reguleerib andmetele juurdepääsu andmekataloogi kaudu ja pakub kontodeülest andmete jagamist andmete tarbijakontoga.
- Andmetarbijakonto Lake Formation reguleerib kontodevahelist juurdepääsu andmejärvele tabeli tasemel ja Lake Formationi peeneteralisi õigusi. Lisateabe saamiseks vaadake Peeneteralise juurdepääsu kontrolli meetodid.
- Andmetarbijakonto EMR Studio tööruumid kasutavad EMR-klastris tööde käitamisel käitusaegseid rolle.
- EMR-klaster loob ühenduse andmetarbijakontol Glue Data Catalog'iga ja küsib andmeid andmejärvest kontoülese andmejagamise kaudu.
Järgmine diagramm illustreerib seda arhitektuuri.
Järgmistes jaotistes käsitleme toiminguid, et jagada andmeid kontode vahel Lake Formationi kaudu, käitada EMR Studio Workspace koos käitusaegsete rollidega ja näidata täpset juurdepääsukontrolli.
Eeldused
Teil peaksid olema järgmised eeltingimused:
Looge andmetootja kontol infrastruktuur
Infrastruktuuriressursside loomiseks tehke järgmised sammud.
- Logige sisse andmete tootja AWS-i kontole (
123456789012
). - Vali Käivitage Stack CloudFormationi malli juurutamiseks vajalike ressursside loomiseks.
- eest DataLakeBucketSufiks, sisestage andmejärves kasutatava S3 ämbri järelliide. Kogu loodava S3 ämbri nimi on
{AwsAccoundId}-{AwsRegion}-{DataLakeBucketSuffix}
. - Pärast CloudFormationi virna loomist liikuge jaotisse Väljundid vahekaarti ja jäädvustage selle väärtus
DataLakeS3Bucket
kasutada järgmises etapis.
Looge andmefailid ja laadige need üles Amazon S3-sse andmetootja kontol
Seadistage oma AWS-i CLI kasutama IAM-i identiteeti koos loaga andmete tootja AWS-i kontol DataLakeS3BucketName'i üleslaadimiseks (123456789012
), või saate CloudShelli sisse logida kasutades AWS-i juhtimiskonsool. Tehke järgmised sammud.
- Liikuge oma kohalikus masinas valitud kataloogi käsuga cd, näiteks
cd ~
. - Käivita käsikiri koos
chmod 744 create_sample_data.sh && ./create_sample_data.sh <DataLakeS3BucketName>
.
Skript loob alamkataloogi tmp
looge oma praeguses töökataloogis testandmed CSV-failides ja laadige failid üles DataLakeS3BucketName
S3 kopp.
Seadistage andmetootja kontol Lake Formation
Selles jaotises käsitleme andmetootja kontol Lake Formationi seadistamise samme.
Seadistage Lake Formationi kontoülese andmete jagamise versiooni seaded
Lake Formation toetab mitut andmete jagamise versiooni. Selle postituse jaoks kasutame versiooni 3. Andmete jagamise versioonide erinevuste kohta lisateabe saamiseks vaadake Kontoülese andmete jagamise versiooniseadete värskendamine. Andmete jagamise versiooni muutmiseks vaadake Uue versiooni lubamiseks.
Registreerige Amazon S3 asukoht andmejärve asukohaks
Kui te registreerige Amazon S3 asukoht Lake Formationiga määrate selles kohas lugemis-/kirjutusõigustega IAM-rolli. Pärast registreerimist, kui EMR-klastrid taotlevad juurdepääsu sellele Amazon S3 asukohale, annab Lake Formation andmetele juurdepääsuks antud rolli ajutised mandaadid. Oleme rolli juba loonud LakeFormationCompanyDatabaseDataAccessRole
selleks eelmises etapis. Amazon S3 asukoha registreerimiseks andmejärve asukohana toimige järgmiselt.
- Avage Lake Formationi konsool Lake Formationi andmejärve administraatoriga andmetootja kontol (
123456789012
). - Valige navigeerimispaanil Andmejärvede asukohad all haldus.
- Vali Registreeri asukoht.
- eest Amazon S3 tee, sisenema
s3://<DataLakeS3BucketName>/company-database
. - eest IAM roll, sisenema
LakeFormationCompanyDatabaseDataAccessRole
. - eest Loarežiimvalige Järve moodustumine.
- Vali Registreeri asukoht.
Tühistage IAMAllowedPrincipalsile antud load
. IAMAllowedPrincipals
grupp hõlmab kõiki IAM-i kasutajaid ja rolle, kellel on teie IAM-i reeglitega lubatud juurdepääs teie andmekataloogi ressurssidele. To jõustada Lake Formation mudelit, me peame tühistada IAMAllowedPrincipalsi luba kasutades järgmisi samme:
- Avage Lake Formationi konsool andmetootja kontol Lake Formationi andmejärve administraatoriga.
- Valige navigeerimispaanil Andmejärve load jaotises Permissions.
- Lubade filtreerimise alus
Database = company
jaPrinciple=IAMAllowedPrinciples
. - Valige kõik käsundiandjale antud load
IAMAllowedPrincipals
Ja vali Tühista.
Seadistage rakenduste integreerimise seaded
EMR-klastri lubade jõustamiseks peate registreerima Lake Formationiga seansi märgendi väärtuse. Lake Formation kasutab seda seansi silti helistajate volitamiseks ja juurdepääsu andmiseks andmejärvele. Registreerime Amazon EMR
seansi märgendi väärtusena. Sellele väärtusele viidatakse jaotises turvakonfiguratsioon EMR klastri loomisel.
Seadistage seansimärgend järgmiste sammude abil.
- Avage Lake Formationi konsool andmetootja kontol Lake Formationi andmejärve administraatoriga.
- Vali Rakenduste integreerimise seaded all haldus navigeerimispaanil.
- valima Lubage välistel mootoritel andmeid filtreerida Amazon S3 asukohtades, mis on registreeritud Lake Formationis.
- eest Seansi märgendi väärtused, sisenema
Amazon EMR
. - eest AWS-i konto ID-d, sisestage andmete tarbija AWS-i konto ID (
111122223333
). - Vali Säästa.
Jaga andmebaasi ja tabeleid andmete tarbijakontoga
Anname nüüd andmetarbija AWS-i kontole load, sealhulgas antavad load. See võimaldab andmetarbijakonto Lake Formationi andmejärve administraatoril kontrollida juurdepääsu konto andmetele.
Andke andmetarbija kontole andmebaasi load
Tehke järgmised toimingud.
- Avage Lake Formationi konsool andmetootja kontol Lake Formationi andmejärve administraatoriga.
- Valige navigeerimispaanil Andmebaasid.
- Valige andmebaas
company
ja Meetmete menüü all Õigused, vali Grant. - aasta Põhimõtted jaotises valige Välised kontod ja sisestage andmetarbija AWS-i konto (
111122223333
). - aasta LF-sildid või kataloogiressursid Valige jaotises
company
eest Andmebaasid. - aasta Andmebaasi õigused jaotises valige Kirjeldama mõlemale Andmebaasi õigused ja Antavad load.
See võimaldab andmetarbijakonto andmejärve administraatoril kirjeldada andmebaasi ja anda andmetarbija konto teistele printsipaalidele kirjeldamisõigusi.
- Vali Grant.
Andke andmete tarbijakontole tabeli õigused
Tehke järgmised toimingud.
- Avage Lake Formationi konsool andmetootja kontol Lake Formationi andmejärve administraatoriga.
- Valige navigeerimispaanil Tabelid.
- Valige
products
tabel, mis kuulubcompany
andmebaasis ja Meetmete menüü all Õigused, vali Grant. - aasta Põhimõtted jaotises valige Välised kontod ja sisestage andmed tarbija AWS-i kontole (
111122223333
). - aasta LF-sildid või kataloogiressursid jaotises valige Nimetatud andmekataloogi ressursid ja täpsustage järgmist:
- eest Andmebaasid, vali
company
. - eest Tabelid, vali
products
jaemployees
.
- eest Andmebaasid, vali
- aasta Tabeli õigused Valige jaotises valima ja Kirjeldama mõlemale Tabeli õigused ja Antavad load.
See võimaldab andmetarbijakonto andmejärve administraatoril valida ja kirjeldada tabeleid ning anda andmetarbijakonto teistele printsipaalidele tabeli valimise ja kirjeldamise õigusi.
- aasta Andmete õigused jaotises valige Juurdepääs kõigile andmetele.
- Vali Grant.
Nüüd oleme lõpetanud andmetootja konto seadistamise.
Seadistage andmetarbija konto infrastruktuur
Infrastruktuuriressursside loomiseks tehke järgmised sammud.
- Logige sisse andmete tarbijakontole (
111122223333
). - Vali Käivitage virn CloudFormationi malli juurutamiseks vajalike ressursside loomiseks.
- eest Väljalaske silt, sisestage kasutatav Amazon EMR-i väljalaske silt, mis võib olla ainult emr-6.11 või uuem.
- eest InstanceType, valige EMR-klastri eksemplari tüüp, näiteks r4.4xlarge.
- eest EMRS3BucketNameSufiks, sisestage EMR-klastri logide ja EMR-märkmiku failide salvestamiseks S3-salve järelliide. Loodava S3 ämbri täisnimi on
{AWSAccoundId}-{AWSRegion}-{EMRS3BucketNameSuffix}
. - eest S3PathToInTransitCertificate, sisestage .zip-faili S3 tee, mis sisaldab edastamise ajal krüptimiseks kasutatavaid PEM-faile.
Pem-faile sisaldava ZIP-faili loomise ja nende S3 ämbrisse üleslaadimise juhiste saamiseks vaadake Sertifikaatide pakkumine edastatavate andmete krüptimiseks Amazon EMR-krüptimisega.
- Pärast CloudFormationi virna loomist liikuge jaotisse Väljundid virna vahekaart.
- Jäädvustage väärtus
EMRStudioLink
kasutada EMR Studiosse sisselogimiseks.
Nõustuge andmete tarbijakonto ressursi jagamisega
Jagatud ressurssidele juurdepääsuks peate esmalt kutse vastu võtma.
- Avage andmete tarbijakonto AWS RAM-i konsool IAM-i identiteediga, millel on juurdepääs AWS RAM-ile.
- Valige navigeerimispaanil Ressursiosakud all Minuga jagatud.
Andmetootja kontolt peaksite nägema kahte ootel ressursi jagamist.
- Nõustuge mõlema ressursi jagamisega.
Sa peaksid nägema company
andmebaas, employees
laud ja products
tabelit andmekataloogis.
Seadistage andmetarbija kontol Lake Formation
Selles jaotises käsitleme andmetarbijakontol Lake Formationi seadistamise samme.
Seadistage rakenduste integreerimise seaded
Sarnaselt andmetootja konto seadistusega peate registreerima Amazon EMR-i seansisildina. Sellele väärtusele on viidatud dokumendis turvakonfiguratsioon EMR-klastri loomisel CloudFormationi virnas.
Selleks tehke järgmised sammud.
- Avage Lake Formationi konsool andmetarbijakontol Lake Formationi andmejärve administraatoriga (
111122223333
). - Vali Rakenduste integreerimise seaded all haldus navigeerimispaanil.
- valima Lubage välistel mootoritel andmeid filtreerida Amazon S3 asukohtades, mis on registreeritud Lake Formationis.
- eest Seansi märgendi väärtused, sisenema
Amazon EMR
. - eest AWS-i konto ID-d, sisestage andmete tarbija AWS-i konto ID (
111122223333
). - Vali Säästa.
Andke vaikeandmebaasi käitusaja rollide kirjeldamise õigused
Kui teil pole Lake Formationis vaikeandmebaasi või teie vaikeandmebaasil on juba õigused, millele anda IAMAllowedPrinciples
, võite selle sammu vahele jätta.
Amazon EMR kontrollib vaikimisi vaikeandmebaasi. Kui teil on Lake Formationis juba vaikeandmebaas, andke vaikeandmebaasi käitusaegsetele rollidele kirjeldamisõigus, tehes järgmist.
- Avage Lake Formationi konsool andmetarbija kontol Lake Formationi andmejärve administraatori kasutajaga.
- Valige navigeerimispaanil Andmebaasid.
- Valige vaikeandmebaas, veenduge, et omanikukonto ID on andmete tarbijakonto (
111122223333
) ja kohta Meetmete menüüst valige Grant. - aasta Põhimõtete jaotisvalige IAM-i kasutajad ja rollid.
- eest IAM-i kasutajad ja rollid, vali
sales-runtime-role
jahuman-resource-runtime-role
. - eest LF-sildid või kataloogiressursidvalige Nimetatud andmekataloogi ressursid ja valige vaikeseade Andmebaasid.
- aasta Andmebaasi õigused jaotis, jaoks Andmebaasi õigused, vali Kirjeldama.
- Vali Grant.
Looge jagatud andmebaasi ressursi link
Andmetootja AWS-i konto jagatud andmebaasi- ja tabeliressurssidele juurdepääsemiseks peate looma a ressursi link andmetarbija AWS-i kontol. Ressursilink on andmekataloogi objekt, mis on link kohalikule või jagatud andmebaasile või tabelile. Pärast andmebaasi või tabeli ressursilingi loomist saate kasutada ressursilingi nime kõikjal, kus kasutaksite andmebaasi või tabeli nime. Selles etapis annate ressursilinkidele loa käitusaja rolli põhimõtetele. Käitusaja rollid pääsevad seejärel ressursilingi kaudu juurde jagatud andmebaaside ja aluseks olevate tabelite andmetele.
Ressursilingi loomiseks toimige järgmiselt.
- Avage Lake Formationi konsool andmetarbijakontol Lake Formationi andmejärve administraatoriga.
- Valige navigeerimispaanil Andmebaasid.
- Valige
company
andmebaasi, veenduge, et omaniku konto ID on andmetootja konto (123456789012
) ja kohta Meetmete menüüst valige Looge ressursside linke. - eest Ressursi lingi nimi, sisestage ressursi lingi nimi (näiteks
company-shared
). - eest Jagatud andmebaasi piirkond, valige regioon
company
andmebaas. - eest Jagatud andmebaas, valige ettevõtte andmebaas.
- eest Jagatud andmebaasi omaniku ID, sisestage andmetootja konto konto ID (
123456789012
). - Vali Looma.
Andke ressursi lingile õigused käitusaegse rolli põhimõttele
Andke ressursi lingile load müügi-käitusaja rolli ja inimressursi käitusaja rolli jaoks, järgides järgmisi samme.
- Avage Lake Formationi konsool andmetarbijakontol Lake Formationi andmejärve administraatoriga.
- Valige navigeerimispaanil Andmebaasid.
- Valige ressursi link (
company-shared
) ja Meetmete menüüst valige Grant. - aasta Põhimõtted jaotises valige IAM-i kasutajad ja rollidja vali
sales-runtime-role
jahuman-resource-runtime-role
. - aasta LF-sildid või kataloogiressursid jaotis, jaoks Andmebaasid, vali
company-shared
. - aasta Ressursi lingi load jaotises valige Kirjeldama.
See võimaldab käitusaegsetel rollidel kirjeldada ressursi linki. Me ei tee valikuid antavate õiguste jaoks, kuna käitusaegsed rollid ei tohiks anda luba teistele põhimõtetele.
- Vali Grant.
Andke tabelitele luba käitusaegse rolli põhimõttele
Peate andma tabelite jaoks load sales-runtime-role
ja human-resource-runtime-role
andmetele juurdepääsu lubamiseks:
Human-resource-runtime-role
peaks olema kõigis veergudes kirjeldamise ja valimise õigusedemployees
tabelis ja sellel pole õigusiproducts
tabelis.Sales-runtime-role
veergudel peaksid olema valitud õiguseduid
,name
jadepartment
aastaemployees
tabelit ning kirjeldage ja valige kõigi veergude õigusedproducts
tabelis.
Andke töötajate tabelile inimressursi käitusaja rollile luba
Tehke järgmised toimingud.
- Avage Lake Formationi konsool andmetarbijakontol Lake Formationi andmejärve administraatoriga.
- Valige navigeerimispaanil Andmebaasid.
- Valige ressursi link (
company-shared
) ja Meetmete menüüst valige Grant on Target. - aasta Põhimõtete jaotisvalige IAM-i kasutajad ja rollid, siis vali
human-resource-runtime-role
. - aasta LF-sildid või kataloogiressursid jaotises valige Nimetatud andmekataloogi ressursid ja täpsustage järgmist:
- eest Andmebaasid, vali
company
. - eest Tabelid¸ vali
employees
.
- eest Andmebaasid, vali
- aasta Tabeli õigused jaotis, jaoks Tabeli õigusedvalige Kirjeldama ja valima.
- aasta Andmete õigused jaotises valige Juurdepääs kõigile andmetele.
- Vali Grant.
Andke töötajate tabelis luba müügi-käitusaja rollile
Tehke järgmised toimingud.
- Avage Lake Formationi konsool andmetarbijakontol Lake Formationi andmejärve administraatoriga.
- Valige navigeerimispaanil Andmebaasid.
- Valige ressursi link (
company-shared
) ja Meetmete menüüst valige Grant on Target. - aasta Põhimõtete jaotisvalige IAM-i kasutajad ja rollid, siis vali
sales-runtime-role
. - aasta LF-sildid või kataloogiressursid jaotises valige Nimetatud andmekataloogi ressursid ja täpsustage järgmist:
- eest Andmebaasid, vali
company
. - eest Tabelid, vali
employees
.
- eest Andmebaasid, vali
- aasta Tabeli õigused jaotis, jaoks Tabeli õigusedvalige valima.
- aasta Andmete õigused jaotises valige Veerupõhine juurdepääs.
- valima Kaasake veerud ja vali
uid
,name
jadepartment
veerud. - Vali Grant.
Andke toodete tabeli luba müügi-käitusaja rollile
Tehke järgmised toimingud.
- Avage Lake Formationi konsool andmetarbijakontol Lake Formationi andmejärve administraatoriga.
- Valige navigeerimispaanil Andmebaasid.
- Valige ressursi link (
company-shared
) ja Meetmete menüüst valige Grant on Target. - aasta Põhimõtete jaotisvalige IAM-i kasutajad ja rollid, siis vali
sales-runtime-role
. - aasta LF-sildid või kataloogiressursid jaotises valige Nimetatud andmekataloogi ressursid ja täpsustage järgmist:
- eest Andmebaasid, vali
company
. - eest Tabelid, vali
products
.
- eest Andmebaasid, vali
- aasta Tabeli õigused jaotis, jaoks Tabeli õigusedvalige valima ja Kirjeldama.
- aasta Andmete õigused jaotises valige Juurdepääs kõigile andmetele.
- Vali Grant.
Logige sisse EMR Studiosse ja kasutage EMR Studio tööruumi
Vaheta oma rolli et alice-role
or bob-role
konsoolil, kasutades juurdepääsu testimiseks erinevaid veebibrausereid. Ava EMRStudioLink
URL CloudFormationi virna väljundist, et iga rolliga EMR Studiosse sisse logida, ja seejärel toimige järgmiselt.
- Vali tööruumid navigeerimispaanil ja valige Looge tööruum.
- Sisestage tööruumi nimi ja kirjeldus.
- Vali Looge tööruum.
Kui tööruum on valmis, avaneb automaatselt uus JupyterLabi sisaldav vahekaart. Vajadusel lubage oma brauseris hüpikaknad.
- Valisite Arvutama ikooni navigeerimispaanil, et lisada arvutusmootoriga EMR Studio tööruum.
- valima EMR-klaster EC2-l eest Arvutustüüp.
- Valige AWS CloudFormationiga loodud EMR-klastri ID.
- eest Kestuslik roll, vali
sales-runtime-role
kui on sisse logitud kuialice-role
. Valimahuman-resource-runtime-role
kui on sisse logitud kuibob-role
. - Vali Kinnitama.
Käivitage kood EMR Studio tööruumis ja kontrollige juurdepääsu andmetele
Pärast alice-rolli või bob-rolliga sisselogimist käivitage PySparki tuumaga EMR Studio tööruumis järgmine kood:
Erinevate rollide kasutamisel peaksite nägema erinevaid tulemusi.
Vastavalt meie andmetele juurdepääsu konfiguratsioonile Lake Formationis on Alice'il täielik juurdepääs andmetele products
laud. Ta saab vaadata kõiki veerge, välja arvatud palk employees
tabelis.
Bobil on meie Lake Formationi andmetele juurdepääsu konfiguratsiooni kohaselt täielik juurdepääs andmetele employees
laud, kuid tal puudub juurdepääs products
tabelis.
Koristage
Kui olete selle lahendusega katsetamise lõpetanud, puhastage oma ressursse.
- Peatage ja kustutage andmetarbija AWS-i kontol loodud EMR Studio tööruumid.
- Kustutage kogu S3 ämbri sisu
EMRS3Bucket
andmetarbija AWS-i kontol. - Kustutage andmetarbija AWS-i kontol CloudFormationi virn.
- Kustutage kogu S3 ämbri sisu
DataLakeS3Bucket
andmete tootja AWS-i kontol. - Kustutage andmetootja AWS-i kontol CloudFormationi virn.
Järeldus
See postitus näitas, kuidas saate käitusaegseid rolle kasutada Amazon EMR-iga EMR Studio Workspace'iga ühenduse loomiseks, et rakendada Lake Formationiga kontoülese peeneteralise andmete juurdepääsu juhtimist. Samuti näitasime, kuidas mitu EMR Studio kasutajat saavad luua ühenduse sama EMR-klastriga, kasutades iga käitusaegset rolli, mille õigused vastavad nende individuaalsele andmetele juurdepääsu tasemele.
Lisateavet EMR Studio tööruumide kasutamise kohta koos Lake Formationiga leiate artiklist Käitage käitusaegse rolliga EMR Studio tööruumi. Soovitame teil seda uut funktsiooni proovida ja meiega ühendust võtta, kui teil on küsimusi või tagasisidet!
Autoritest
Ashley Zhou on AWS-i tarkvaraarenduse insener. Teda huvitab andmeanalüütika ja hajutatud süsteemid.
Srividya Parthasarathy on AWS Lake Formationi meeskonna vanem suurandmete arhitekt. Talle meeldib luua AWS-is analüüsi- ja andmevõrgu lahendusi ning jagada neid kogukonnaga.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://aws.amazon.com/blogs/big-data/use-iam-runtime-roles-with-amazon-emr-studio-workspaces-and-aws-lake-formation-for-cross-account-fine-grained-access-control/
- :on
- :on
- :mitte
- $ UP
- 100
- 107
- 11
- 20
- 7
- 8
- a
- Võimalik
- MEIST
- aktsepteerima
- juurdepääs
- Juurdepääs andmetele
- pääses
- juurdepääsetav
- Vastavalt
- konto
- Kontod
- üle
- pärast
- alice
- Materjal: BPA ja flataatide vaba plastik
- võimaldama
- lubatud
- võimaldab
- juba
- Ka
- Amazon
- Amazon EC2
- Amazon EMR
- Amazon Web Services
- an
- analüüs
- analytics
- ja
- mistahes
- Apache
- Apache Spark
- taotlus
- rakendused
- kehtima
- arhitektuur
- OLEME
- AS
- At
- kinnitage
- volitada
- automaatselt
- AWS
- AWS CloudFormation
- AWS liim
- AWS järve kihistu
- BE
- sest
- kuulub
- vahel
- Suur
- Big andmed
- tera
- mõlemad
- brauseri
- brauserid
- Ehitus
- kuid
- by
- CAN
- lüüa
- kataloog
- Kategooria
- CD
- tunnistused
- muutma
- kontrollima
- valik
- Vali
- puhastama
- Cluster
- kood
- Veerud
- kogukond
- ettevõte
- Ettevõtte omad
- täitma
- lõpetamist
- Arvutama
- konfiguratsioon
- Võta meiega ühendust
- ühendab
- Arvestama
- koosneb
- konsool
- tarbija
- sisaldab
- sisu
- kontrollida
- looma
- loodud
- loomine
- volikiri
- Praegune
- andmed
- juurdepääs andmetele
- andmete analüüs
- Andmete analüüs
- andmejärv
- andmeteadus
- andmeteadlane
- andmete jagamine
- andmebaas
- andmebaasid
- vaikimisi
- määratlema
- näitama
- Näidatud
- osakond
- juurutada
- kirjeldama
- kirjeldus
- arendama
- & Tarkvaraarendus
- erinevused
- erinev
- otse
- jagatud
- hajutatud süsteemid
- do
- Ei tee
- Ära
- alla
- iga
- Töötaja
- töötajad
- võimaldama
- võimaldades
- julgustama
- krüpteerimist
- jõustada
- Mootor
- insener
- Inseneriteadus
- Inseneride
- Mootorid
- sisene
- ettevõtete
- keskkond
- Eeter (ETH)
- näide
- Välja arvatud
- Selgitama
- väline
- fail
- Faile
- filtreerida
- esimene
- Järel
- järgneb
- eest
- moodustamine
- Alates
- täis
- täielikult
- funktsionaalsus
- antud
- Go
- valitseb
- anda
- antud
- Grupp
- olnud
- õnnelik
- Olema
- he
- aitab
- Kuidas
- Kuidas
- HTML
- http
- HTTPS
- inim-
- INIMRESSURSS
- Inimressursid
- IAM
- ID
- Identity
- if
- illustreerib
- rakendatud
- in
- hõlmab
- Kaasa arvatud
- eraldi
- info
- Infrastruktuur
- Näiteks
- juhised
- integreeritud
- integratsioon
- huvitatud
- kehtestama
- kutse
- IT
- Tööturg
- jpg
- silt
- järv
- järved
- suur
- Suured ettevõtted
- algatama
- Õppida
- Tase
- LIMIT
- LINK
- lingid
- kohalik
- liising
- kohad
- masin
- tegema
- TEEB
- juhtima
- juhitud
- juhtimine
- haldab
- palju
- sobitamine
- mehhanism
- menüü
- silma
- võib
- rohkem
- liikuma
- mitmekordne
- peab
- nimi
- Nimega
- Navigate
- NAVIGATSIOON
- vajalik
- Vajadus
- vaja
- Uus
- järgmine
- ei
- märkmik
- märkmikud
- nüüd
- objekt
- of
- sageli
- on
- ainult
- avatud
- töökorras
- or
- Muu
- meie
- välja
- väljund
- omanik
- pane
- tee
- kuni
- luba
- Õigused
- Platon
- Platoni andmete intelligentsus
- PlatoData
- Poliitika
- post
- võim
- eeldused
- eelmine
- Peamine
- direktorid
- põhimõte
- põhimõtted
- tootja
- Toode
- Toodet
- profiil
- profiilid
- anda
- tingimusel
- annab
- eesmärk
- Python
- päringud
- Küsimused
- R
- RAM
- Töötlemata
- algandmed
- valmis
- vähendama
- viitama
- piirkond
- registreerima
- registreeritud
- registreerimine
- vabastama
- taotleda
- ressurss
- Vahendid
- kaasa
- Tulemused
- Roll
- rollid
- jooks
- jooksmine
- palk
- müük
- sama
- Scala
- teadus
- teadlane
- teadlased
- käsikiri
- Osa
- lõigud
- vaata
- väljavalitud
- vanem
- eri
- server
- Teenused
- istung
- komplekt
- kehtestamine
- seaded
- seade
- Jaga
- jagatud
- Aktsiad
- jagamine
- ta
- peaks
- näitas
- kirjutama
- allkirjastatud
- allkirjastamine
- lihtne
- ühekordne
- tarkvara
- tarkvaraarenduse
- müüdud
- lahendus
- Lahendused
- Allikad
- Säde
- Kestab
- Samm
- Sammud
- ladustamine
- salvestada
- ladustatud
- kauplustes
- lihtne
- stuudio
- esitatud
- selline
- varustama
- Toetab
- süsteemid
- tabel
- TAG
- meeskond
- šabloon
- ajutine
- test
- et
- .
- oma
- Neile
- SIIS
- seetõttu
- see
- need
- Läbi
- ajakava
- et
- töövahendid
- transiit
- püüdma
- kaks
- tüüp
- tüüpiliselt
- ui
- all
- aluseks
- Üleslaadimine
- URL
- us
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutusalad
- kasutamine
- väärtus
- kontrollima
- versioon
- kaudu
- vaade
- visualiseeri
- kõndima
- we
- web
- Veebibrauserid
- veebiteenused
- olid
- millal
- mis
- kogu
- will
- koos
- jooksul
- töö
- oleks
- kirjutama
- kirjalik
- yaml
- sa
- Sinu
- sephyrnet
- Tõmblukk