Amazon EMR Studio er et integrert utviklingsmiljø (IDE) som gjør det enkelt for dataforskere og dataingeniører å utvikle, visualisere og feilsøke applikasjoner for datateknikk og datavitenskap skrevet i R, Python, Scala og PySpark. EMR Studio tilbyr fullt administrerte Jupyter-notatbøker og verktøy som Spark UI og YARN Timeline Server via EMR Studio Workspaces. Du kan knytte et EMR Studio Workspace til en EMR-klynge, og bruke datakraften til EMR-klyngen og kjøre datavitenskapsjobber på klyngen. Data lagres ofte i datainnsjøer som administreres av AWS Lake formasjon, slik at du kan bruke finmasket tilgangskontroll gjennom en enkel bevilgnings- eller tilbakekallingsmekanisme.
Vi introduserer gjerne kjøretidsroller for EMR Studio Workspaces. Du kan nå definere en kjøretidsrolle og tilordne den til en EMR-klynge når du kobler til et EMR Studio Workspace. Jobbene på EMR-klyngen vil bruke denne kjøretidsrollen for å få tilgang til AWS-ressurser. Etter å ha konfigurert en kjøretidsrolle, kan du også bruke Lake Formation og bruke finmasket datatilgangskontroll for jobbene som sendes inn av EMR Studio Workspace.
Tidligere, når du koblet EMR Studio Workspaces til EMR-klynger, måtte alle Workspaces bruke det samme AWS identitets- og tilgangsadministrasjon (IAM) rolle – nemlig klyngens Amazon Elastic Compute Cloud (Amazon EC2) forekomstprofil. Derfor hadde alle arbeidsområder knyttet til den samme EMR-klyngen samme datatilgang. For å kontrollere tilgangen til datakilder, måtte hvert EMR Studio Workspace bruke en annen EMR-klynge, og flere EMR-forekomstprofiler var nødvendig.
Fra og med utgivelsen av Amazon EMR 6.11 kan du nå velge en kjøretidsrolle når du kobler et EMR Studio Workspace til en EMR-klynge. Denne kjøretidsrollen begrenser tilgangen på arbeidsområdenivå. Dine Apache Livy- og Apache Spark-jobber som kjører fra EMR Studio Workspaces vil ha tillatelse til kun å få tilgang til dataene og ressursene som er tillatt av retningslinjer knyttet til kjøretidsrollen. Når data får tilgang fra datainnsjøer som administreres med Lake Formation, kan du håndheve finkornet datatilgangskontroll ved å bruke Lake Formation-tillatelser. Dette hjelper deg med å redusere driftskostnader.
I dette innlegget viser vi hvordan du konfigurerer kjøretidsroller for EMR Studio Workspaces og knytter et arbeidsområde til en EMR-klynge med kjøretidsroller. Fordi store bedrifter vanligvis bruker flere AWS-kontoer, og mange av disse kontoene kan trenge tilgang til en datainnsjø som administreres av en enkelt AWS-konto, bruker eksemplet vårt to AWS-kontoer. Vi forklarer hvordan du kontrollerer tilgang til EMR Studio-kjøretidsroller, administrerer datatilgang på tvers av kontoer i en datainnsjø via Lake Formation, og håndhever tillatelser på tabellnivå og kolonnenivå til EMR-kjøretidsrollene.
Løsningsoversikt
For å demonstrere finmasket adgangskontroll, lager vi en prøve AWS Lim database navngitt selskap og administrere databasetillatelsen i Lake Formation. Databasen består av to separate tabeller:
- ansatte – Denne tabellen lagrer informasjon om selskapets ansatte, inkludert ansatt-ID, navn, avdeling og lønn
- produktene – Denne tabellen lagrer informasjon om produktene som selges av selskapet, inkludert produkt-ID, navn, kategori og pris
For å demonstrere datatilgangskontroll vurderer vi følgende databrukere:
- Alice, en dataforsker i salgsteamet – Hun skal ha skrivebeskyttet tilgang til alle kolonnene i
products
tabellen og utvalgte kolonner, inkludert uID, navn og avdeling iemployees
bord - Bob, en dataforsker i personalteamet – Han skal ha skrivebeskyttet tilgang til alle kolonnene i
employees
tabellen og skal ikke ha tilgang tilproducts
bord
For å demonstrere datadeling på tvers av kontoer vurderer vi to kontoer:
- Dataprodusentkonto – Vi omtaler denne kontoen som
123456789012
i dette innlegget. Denne kontoen administrerer rådataene i Amazon enkel lagringstjeneste (Amazon S3) og skriver data til datasjøen. Decompany
database og tabeller skal være i denne kontoen. - Dataforbrukerkonto – Vi omtaler denne kontoen som
111122223333
i dette innlegget. Denne kontoen åpnes direkte av brukerne for dataanalyse og har ikke skrivetilgang til dataene. Denne kontoen bør være tilgjengelig for Alice og Bob.
Arkitekturen er implementert som følger:
- Dataprodusentkontoen administrerer en datainnsjø. Rådata lagres i S3-bøtter og katalogiseres i AWS Glue Data Catalog.
- Lake Formation i dataprodusentkontoen styrer datatilgangen via datakatalogen, og gir datadeling på tvers av kontoer med dataforbrukerkontoen.
- Lake Formation i dataforbrukerkontoen styrer tilgang på tvers av kontoer til datasjøen på tabellnivå og finkornede Lake Formation-tillatelser. For mer informasjon, se Metoder for finmasket adgangskontroll.
- EMR Studio Workspaces i dataforbrukerkontoen bruker kjøretidsroller når de kjører jobber på en EMR-klynge.
- EMR-klyngen kobles til Glue Data Catalog i dataforbrukerkontoen og spør etter dataene fra datasjøen gjennom datadeling på tvers av kontoer.
Følgende diagram illustrerer denne arkitekturen.
I de følgende delene går vi gjennom trinnene for å dele data på tvers av kontoer via Lake Formation, kjøre et EMR Studio Workspace med kjøretidsroller og demonstrere finmasket tilgangskontroll.
Forutsetninger
Du bør ha følgende forutsetninger:
Opprett infrastrukturen i dataprodusentkontoen
Fullfør følgende trinn for å opprette infrastrukturressursene:
- Logg inn på dataprodusentens AWS-konto (
123456789012
). - Velg Start Stack å distribuere en CloudFormation-mal for å lage de nødvendige ressursene.
- Til DataLakeBucketSuffix, skriv inn suffikset for S3-bøtten som brukes av datainnsjøen. Hele S3-bøttenavnet som skal opprettes, vil være
{AwsAccoundId}-{AwsRegion}-{DataLakeBucketSuffix}
. - Etter at CloudFormation-stakken er opprettet, naviger til Utganger fanen på stabelen og fange verdien av
DataLakeS3Bucket
å bruke i neste trinn.
Lag datafiler og last dem opp til Amazon S3 i dataprodusentkontoen
Konfigurer AWS CLI til å bruke IAM-identiteten med tillatelse til å laste opp til DataLakeS3BucketName i dataprodusentens AWS-konto (123456789012
), eller du kan logge på CloudShell ved hjelp av AWS-administrasjonskonsoll. Fullfør følgende trinn:
- På din lokale maskin flytter du til en katalog du ønsker med cd-kommandoen, for eksempel,
cd ~
. - Kjør script med
chmod 744 create_sample_data.sh && ./create_sample_data.sh <DataLakeS3BucketName>
.
Skriptet vil opprette en underkatalog tmp
i din nåværende arbeidskatalog, opprett testdataene i CSV-filer, og last opp filene til DataLakeS3BucketName
S3 bøtte.
Sett opp Lake Formation i dataprodusentkontoen
I denne delen går vi gjennom trinnene for å sette opp Lake Formation i dataprodusentkontoen.
Konfigurer Lake Formation versjonsinnstillinger for datadeling på tvers av kontoer
Lake Formation støtter flere datadelingsversjoner. For dette innlegget bruker vi versjon 3. For å lære mer om forskjellene mellom datadelingsversjoner, se Oppdaterer versjonsinnstillinger for datadeling på tvers av kontoer. For å endre datadelingsversjonen, se For å aktivere den nye versjonen.
Registrer Amazon S3-posisjonen som datainnsjø-posisjonen
Når du registrere en Amazon S3-lokasjon med Lake Formation spesifiserer du en IAM-rolle med lese-/skrivetillatelser på det stedet. Etter registrering, når EMR-klynger ber om tilgang til denne Amazon S3-posisjonen, vil Lake Formation levere midlertidig legitimasjon for den oppgitte rollen for å få tilgang til dataene. Vi har allerede laget rollen LakeFormationCompanyDatabaseDataAccessRole
for dette formålet i forrige trinn. For å registrere Amazon S3-posisjonen som datainnsjø-posisjonen, fullfør følgende trinn:
- Åpne Lake Formation-konsollen med Lake Formation-datainnsjøadministratoren i dataprodusentkontoen (
123456789012
). - Velg i navigasjonsruten Data lake steder etter Administrasjon.
- Velg Registrer sted.
- Til Amazon S3-bane, Tast inn
s3://<DataLakeS3BucketName>/company-database
. - Til IAM-rolle, Tast inn
LakeFormationCompanyDatabaseDataAccessRole
. - Til Tillatelsesmodus, plukke ut Innsjøformasjon.
- Velg Registrer sted.
Tilbakekall tillatelser gitt til IAMAllowedPrincipals
De IAMAllowedPrincipals
gruppen inkluderer alle IAM-brukere og roller som har tilgang til datakatalogressursene dine i henhold til IAM-retningslinjene dine. Til håndheve Lake Formation-modellen, vi må tilbakekall tillatelse fra IAMAllowedPrincipals ved å bruke følgende trinn:
- Åpne Lake Formation-konsollen med Lake Formation-datainnsjøadministratoren i dataprodusentkontoen.
- Velg i navigasjonsruten Datainnsjø-tillatelser under Tillatelser.
- Filtrer tillatelser etter
Database = company
ogPrinciple=IAMAllowedPrinciples
. - Velg alle tillatelsene gitt til rektor
IAMAllowedPrincipals
Og velg Tilbakekall.
Sett opp applikasjonsintegrasjonsinnstillinger
For å håndheve tillatelser for EMR-klyngen, må du registrere en økttag-verdi med Lake Formation. Lake Formation bruker denne økttaggen for å autorisere innringere og gi tilgang til datasjøen. Vi registrerer oss Amazon EMR
som økttag-verdien. Denne verdien vil bli referert i sikkerhetskonfigurasjon når du oppretter EMR-klyngen.
Sett opp økttaggen ved å bruke følgende trinn:
- Åpne Lake Formation-konsollen med Lake Formation-datainnsjøadministratoren i dataprodusentkontoen.
- Velg Innstillinger for applikasjonsintegrasjon etter Administrasjon i navigasjonsruten.
- Plukke ut Tillat eksterne motorer å filtrere data i Amazon S3-lokasjoner registrert hos Lake Formation.
- Til Verdier for økttagger, Tast inn
Amazon EMR
. - Til AWS-konto-IDer, skriv inn dataforbrukerens AWS-konto-ID (
111122223333
). - Velg Spar.
Del databasen og tabellene med dataforbrukerkontoen
Vi gir nå tillatelser til dataforbrukerens AWS-konto, inkludert tillatelser som kan gis. Dette gjør at Lake Formation-datainnsjøadministratoren i dataforbrukerkontoen kan kontrollere tilgangen til dataene i kontoen.
Gi databasetillatelser til dataforbrukerkontoen
Fullfør følgende trinn:
- Åpne Lake Formation-konsollen med Lake Formation-datainnsjøadministratoren i dataprodusentkontoen.
- Velg i navigasjonsruten databaser.
- Velg databasen
company
, og på handlinger meny, under Tillatelser, velg Grant. - på Prinsipper seksjon, velg Eksterne kontoer og skriv inn dataforbrukerens AWS-konto (
111122223333
). - på LF-tagger eller katalogressurser delen velger
company
forum databaser. - på Database tillatelser seksjon, velg Beskriv for både Database tillatelser og Tildelte tillatelser.
Dette lar datainnsjøadministratoren i dataforbrukerkontoen beskrive databasen og gi beskrivelsestillatelser til andre oppdragsgivere i dataforbrukerkontoen.
- Velg Grant.
Gi tabelltillatelser til dataforbrukerkontoen
Fullfør følgende trinn:
- Åpne Lake Formation-konsollen med Lake Formation-datainnsjøadministratoren i dataprodusentkontoen.
- Velg i navigasjonsruten tabeller.
- Velg
products
tabellen, som tilhørercompany
database, og på handlinger meny, under Tillatelser, velg Grant. - på Prinsipper seksjon, velg Eksterne kontoer og skriv inn dataforbrukerens AWS-konto (
111122223333
). - på LF-tagger eller katalogressurser seksjon, velg Navngitte datakatalogressurser og spesifiser følgende:
- Til databaser, velg
company
. - Til tabeller, velg
products
ogemployees
.
- Til databaser, velg
- på Tabelltillatelser delen velger Plukke ut og Beskriv for både Tabelltillatelser og Tildelte tillatelser.
Dette lar datainnsjø-administratoren i dataforbrukerkontoen velge og beskrive tabellene, og gi tillatelser til å velge og beskrive tabeller til andre oppdragsgivere i dataforbrukerkontoen.
- på Datatillatelser seksjon, velg All datatilgang.
- Velg Grant.
Nå er vi ferdig med å sette opp dataprodusentkontoen.
Sett opp infrastrukturen i dataforbrukerkontoen
Fullfør følgende trinn for å opprette infrastrukturressursene:
- Logg inn på dataforbrukerkontoen (
111122223333
). - Velg Start stabelen å distribuere en CloudFormation-mal for å lage de nødvendige ressursene.
- Til Utgivelsesetikett, skriv inn Amazon EMR-utgivelsesetiketten du vil bruke, som bare kan være emr-6.11 eller nyere.
- Til InstanceType, velg forekomsttypen for EMR-klynge, for eksempel r4.4xlarge.
- Til EMRS3BucketNameSuffiks, skriv inn S3-bøttesuffikset for å lagre EMR-klyngelogger og EMR-notatbokfiler. Det fullstendige S3-bøttenavnet som skal opprettes, vil være
{AWSAccoundId}-{AWSRegion}-{EMRS3BucketNameSuffix}
. - Til S3PathToInTransitCertificate, skriv inn S3-banen for .zip-filen som inneholder .pem-filene som brukes til kryptering under transport.
For instruksjoner om hvordan du oppretter .zip-filen som inneholder .pem-filene og laster dem opp til S3-bøtten din, se Tilbyr sertifikater for kryptering av data under overføring med Amazon EMR-kryptering.
- Etter at CloudFormation-stakken er opprettet, naviger til Utganger fanen på stabelen.
- Fang verdien av
EMRStudioLink
å bruke for å logge på EMR Studio.
Godta ressursandelen i dataforbrukerkontoen
For å få tilgang til delte ressurser må du godta invitasjonen først.
- Åpne AWS RAM-konsollen til dataforbrukerkontoen med IAM-identiteten som har AWS RAM-tilgang.
- Velg i navigasjonsruten Ressursandeler etter Delt med meg.
Du bør se to ventende ressursandeler fra dataprodusentkontoen.
- Godta begge ressursdelingene.
Du bør se company
database, employees
bord og products
tabellen i datakatalogen.
Sett opp Lake Formation i dataforbrukerkontoen
I denne delen går vi gjennom trinnene for å sette opp Lake Formation i dataforbrukerkontoen.
Sett opp applikasjonsintegrasjonsinnstillinger
I likhet med oppsettet i dataprodusentkontoen, må du registrere Amazon EMR som en økttag. Denne verdien er referert til i sikkerhetskonfigurasjon når du oppretter EMR-klyngen i CloudFormation-stakken.
For å gjøre det, fullfør følgende trinn:
- Åpne Lake Formation-konsollen med Lake Formation-datasjøen-administratoren i dataforbrukerkontoen (
111122223333
). - Velg Innstillinger for applikasjonsintegrasjon etter Administrasjon i navigasjonsruten.
- Plukke ut Tillat eksterne motorer å filtrere data i Amazon S3-lokasjoner registrert hos Lake Formation.
- Til Verdier for økttagger, Tast inn
Amazon EMR
. - Til AWS-konto-IDer, skriv inn dataforbrukerens AWS-konto-ID (
111122223333
). - Velg Spar.
Gi en beskrivelse av tillatelser til kjøretidsroller i standarddatabasen
Hvis du ikke har en standarddatabase i Lake Formation, eller din standarddatabase allerede har tillatelser å gi til IAMAllowedPrinciples
, kan du hoppe over dette trinnet.
Amazon EMR vil sjekke standarddatabasen som standard. Hvis du allerede har en standarddatabase i Lake Formation, gi describe tillatelse til kjøretidsrollene på standarddatabasen ved å fullføre følgende trinn:
- Åpne Lake Formation-konsollen med Lake Formation-datasjøen-administratorbrukeren i dataforbrukerkontoen.
- Velg i navigasjonsruten databaser.
- Velg standarddatabasen, bekreft at eierkonto-IDen er dataforbrukerkontoen (
111122223333
), og på handlinger meny, velg Grant. - på Prinsippdelen, plukke ut IAM-brukere og roller.
- Til IAM-brukere og roller, velg
sales-runtime-role
oghuman-resource-runtime-role
. - Til LF-tagger eller katalogressurser, plukke ut Navngitte datakatalogressurser og velg standard for databaser.
- på Database tillatelser seksjon, for Database tillatelser, velg Beskriv.
- Velg Grant.
Opprett en ressurskobling for den delte databasen
For å få tilgang til database- og tabellressursene som ble delt av dataprodusentens AWS-konto, må du opprette en ressurskobling i dataforbrukerens AWS-konto. En ressurskobling er et Data Catalog-objekt som er en kobling til en lokal eller delt database eller tabell. Etter at du har opprettet en ressurskobling til en database eller tabell, kan du bruke ressurskoblingsnavnet uansett hvor du vil bruke database- eller tabellnavnet. I dette trinnet gir du tillatelse til ressurskoblingene til kjøretidsrolleprinsippene. Kjøretidsrollene vil da få tilgang til dataene i delte databaser og underliggende tabeller gjennom ressurskoblingen.
For å opprette en ressurskobling, fullfør følgende trinn:
- Åpne Lake Formation-konsollen med Lake Formation-datasjøen-administratoren i dataforbrukerkontoen.
- Velg i navigasjonsruten databaser.
- Velg
company
database, kontroller at eierkonto-IDen er dataprodusentkontoen (123456789012
), og på handlinger meny, velg Opprett ressurskoblinger. - Til Navn på ressurslenke, skriv inn navnet på ressurskoblingen (f.eks.
company-shared
). - Til Delt databases region, velg regionen i
company
database. - Til Delt database, velg firmadatabasen.
- Til Delt databases eier-ID, skriv inn konto-ID-en til dataprodusentkontoen (
123456789012
). - Velg Opprett.
Gi tillatelser på ressurskoblingen til kjøretidsrolleprinsippet
Gi tillatelser på ressurskoblingen til salgs-runtime-rolle og human-resource-runtime-rolle ved å bruke følgende trinn:
- Åpne Lake Formation-konsollen med Lake Formation-datasjøen-administratoren i dataforbrukerkontoen.
- Velg i navigasjonsruten databaser.
- Velg ressurslenken (
company-shared
) og på handlinger meny, velg Grant. - på Prinsipper seksjon, velg IAM-brukere og roller, og velg
sales-runtime-role
oghuman-resource-runtime-role
. - på LF-tagger eller katalogressurser seksjon, for databaser, velg
company-shared
. - på Ressurskoblingstillatelser seksjon, velg Beskriv.
Dette lar kjøretidsrollene beskrive ressurskoblingen. Vi gjør ingen valg for tillatelser som kan gis fordi kjøretidsroller ikke skal kunne gi tillatelser til andre prinsipper.
- Velg Grant.
Gi tillatelse på tabellene til kjøretidsrolleprinsippet
Du må gi tillatelser på bordene til sales-runtime-role
og human-resource-runtime-role
for å tillate datatilgang:
Human-resource-runtime-role
skal ha beskrive og velge tillatelser på alle kolonnene iemployees
tabellen, og ingen tillatelser påproducts
tabellen.Sales-runtime-role
bør ha utvalgsrettigheter på kolonneneuid
,name
ogdepartment
iemployees
tabell, og beskriv og velg tillatelser for alle kolonnene iproducts
tabellen.
Gi tillatelse til ansatte-tabellen til human-resource-runtime-rolle
Fullfør følgende trinn:
- Åpne Lake Formation-konsollen med Lake Formation-datasjøen-administratoren i dataforbrukerkontoen.
- Velg i navigasjonsruten databaser.
- Velg ressurslenken (
company-shared
) og på handlinger meny, velg Grant on Target. - på Prinsippdelen, plukke ut IAM-brukere og roller, velg deretter
human-resource-runtime-role
. - på LF-tagger eller katalogressurser seksjon, velg Navngitte datakatalogressurser og spesifiser følgende:
- Til databaser, velg
company
. - Til tabeller¸ velg
employees
.
- Til databaser, velg
- på Tabelltillatelser seksjon, for Tabelltillatelser, plukke ut Beskriv og Plukke ut.
- på Datatillatelser seksjon, velg All datatilgang.
- Velg Grant.
Gi tillatelse til medarbeidertabellen til salgs-runtime-rolle
Fullfør følgende trinn:
- Åpne Lake Formation-konsollen med Lake Formation-datasjøen-administratoren i dataforbrukerkontoen.
- Velg i navigasjonsruten databaser.
- Velg ressurslenken (
company-shared
) og på handlinger meny, velg Grant on Target. - på Prinsippdelen, plukke ut IAM-brukere og roller, velg deretter
sales-runtime-role
. - på LF-tagger eller katalogressurser seksjon, velg Navngitte datakatalogressurser og spesifiser følgende:
- Til databaser, velg
company
. - Til tabeller, velg
employees
.
- Til databaser, velg
- på Tabelltillatelser seksjon, for Tabelltillatelser, plukke ut Plukke ut.
- på Datatillatelser seksjon, velg Kolonnebasert tilgang.
- Plukke ut Inkluder kolonner og velg
uid
,name
ogdepartment
kolonner. - Velg Grant.
Gi tillatelse på produkttabellen til sales-runtime-rolle
Fullfør følgende trinn:
- Åpne Lake Formation-konsollen med Lake Formation-datasjøen-administratoren i dataforbrukerkontoen.
- Velg i navigasjonsruten databaser.
- Velg ressurslenken (
company-shared
) og på handlinger meny, velg Grant on Target. - på Prinsippdelen, plukke ut IAM-brukere og roller, velg deretter
sales-runtime-role
. - på LF-tagger eller katalogressurser seksjon, velg Navngitte datakatalogressurser og spesifiser følgende:
- Til databaser, velg
company
. - Til tabeller, velg
products
.
- Til databaser, velg
- på Tabelltillatelser seksjon, for Tabelltillatelser, plukke ut Plukke ut og Beskriv.
- på Datatillatelser seksjon, velg All datatilgang.
- Velg Grant.
Logg på EMR Studio og bruk EMR Studio Workspace
Bytt rolle til alice-role
or bob-role
på konsollen ved å bruke forskjellige nettlesere for å teste tilgangen. Åpne EMRStudioLink
URL fra CloudFormation-stabelutgangen for å logge på EMR Studio med hver rolle, og fullfør deretter følgende trinn:
- Velg arbeidsområder i navigasjonsruten og velg Opprett arbeidsområde.
- Skriv inn et navn og en beskrivelse for arbeidsområdet.
- Velg Opprett arbeidsområde.
En ny fane som inneholder JupyterLab åpnes automatisk når arbeidsområdet er klart. Aktiver popup-vinduer i nettleseren din om nødvendig.
- Valgte Beregn ikonet i navigasjonsruten for å feste EMR Studio Workspace med en beregningsmotor.
- Plukke ut EMR-klynge på EC2 forum Beregningstype.
- Velg EMR-klynge-ID-en du opprettet med AWS CloudFormation.
- Til Runtime rolle, velg
sales-runtime-role
hvis logget på somalice-role
. Velghuman-resource-runtime-role
hvis logget på sombob-role
. - Velg Fest.
Kjør kode i EMR Studio Workspace og bekreft datatilgang
Kjør følgende kode i EMR Studio Workspace med en PySpark-kjerne etter pålogging med alice-role eller bob-role:
Du bør se forskjellige resultater når du bruker forskjellige roller.
I henhold til vår datatilgangskonfigurasjon i Lake Formation, vil Alice ha full datatilgang for products
bord. Hun kan se alle kolonnene bortsett fra lønn i employees
tabellen.
For Bob, i henhold til vår datatilgangskonfigurasjon i Lake Formation, vil han ha full datatilgang til employees
bord, men han har ikke tilgang til products
tabellen.
Rydd opp
Når du er ferdig med å eksperimentere med denne løsningen, rydde opp i ressursene dine:
- Stopp og slett EMR Studio Workspaces opprettet i dataforbrukerens AWS-konto.
- Slett alt innholdet i S3-bøtten
EMRS3Bucket
i dataforbrukerens AWS-konto. - Slett CloudFormation-stakken i dataforbrukerens AWS-konto.
- Slett alt innholdet i S3-bøtten
DataLakeS3Bucket
i dataprodusentens AWS-konto. - Slett CloudFormation-stakken i dataprodusentens AWS-konto.
konklusjonen
Dette innlegget viste hvordan du kan bruke kjøretidsroller til å koble til et EMR Studio Workspace med Amazon EMR for å bruke finmasket datatilgangskontroll på tvers av kontoer med Lake Formation. Vi demonstrerte også hvordan flere EMR Studio-brukere kan koble til den samme EMR-klyngen, hver ved å bruke en kjøretidsrolle med tillatelser som samsvarer med deres individuelle tilgangsnivå til data.
For å lære mer om bruk av EMR Studio Workspaces med Lake Formation, se Kjør et EMR Studio Workspace med en kjøretidsrolle. Vi oppfordrer deg til å prøve ut denne nye funksjonaliteten, og ta kontakt med oss hvis du har spørsmål eller tilbakemeldinger!
Om forfatterne
Ashley Zhou er programvareutviklingsingeniør hos AWS. Hun er interessert i dataanalyse og distribuerte systemer.
Srividya Parthasarathy er senior Big Data Architect på AWS Lake Formation-teamet. Hun liker å bygge analyse- og datanettløsninger på AWS og dele dem med samfunnet.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://aws.amazon.com/blogs/big-data/use-iam-runtime-roles-with-amazon-emr-studio-workspaces-and-aws-lake-formation-for-cross-account-fine-grained-access-control/
- : har
- :er
- :ikke
- $OPP
- 100
- 107
- 11
- 20
- 7
- 8
- a
- I stand
- Om oss
- Aksepterer
- adgang
- Tilgang til data
- aksesseres
- tilgjengelig
- Ifølge
- Logg inn
- kontoer
- tvers
- Etter
- alice
- Alle
- tillate
- tillatt
- tillater
- allerede
- også
- Amazon
- Amazon EC2
- Amazon EMR
- Amazon Web Services
- an
- analyse
- analytics
- og
- noen
- Apache
- Apache Spark
- Søknad
- søknader
- Påfør
- arkitektur
- ER
- AS
- At
- feste
- autorisere
- automatisk
- AWS
- AWS skyformasjon
- AWS Lim
- AWS Lake formasjon
- BE
- fordi
- tilhører
- mellom
- Stor
- Store data
- bob
- både
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- nettlesere
- Bygning
- men
- by
- CAN
- fangst
- katalog
- Kategori
- CD
- sertifikater
- endring
- sjekk
- valg
- Velg
- ren
- Cluster
- kode
- kolonner
- samfunnet
- Selskapet
- Selskapets
- fullføre
- fullført
- Beregn
- Konfigurasjon
- Koble
- forbinder
- Vurder
- består
- Konsoll
- forbruker
- inneholder
- innhold
- kontroll
- skape
- opprettet
- Opprette
- Credentials
- Gjeldende
- dato
- data tilgang
- dataanalyse
- Data Analytics
- Data Lake
- datavitenskap
- dataforsker
- datadeling
- Database
- databaser
- Misligholde
- definere
- demonstrere
- demonstrert
- Avdeling
- utplassere
- beskrive
- beskrivelse
- utvikle
- Utvikling
- forskjeller
- forskjellig
- direkte
- distribueres
- distribuerte systemer
- do
- ikke
- ikke
- ned
- hver enkelt
- Ansatt
- ansatte
- muliggjøre
- muliggjør
- oppmuntre
- kryptering
- håndheve
- Motor
- ingeniør
- Ingeniørarbeid
- Ingeniører
- Motorer
- Enter
- bedrifter
- Miljø
- Eter (ETH)
- eksempel
- Unntatt
- Forklar
- utvendig
- filet
- Filer
- filtrere
- Først
- etter
- følger
- Til
- formasjon
- fra
- fullt
- fullt
- funksjonalitet
- gitt
- Go
- reglene
- innvilge
- innvilget
- Gruppe
- HAD
- lykkelig
- Ha
- he
- hjelper
- Hvordan
- Hvordan
- HTML
- http
- HTTPS
- menneskelig
- MENNESKELIG RESSURS
- Human Resources
- IAM
- ID
- Identitet
- if
- illustrerer
- implementert
- in
- inkluderer
- Inkludert
- individuelt
- informasjon
- Infrastruktur
- f.eks
- instruksjoner
- integrert
- integrering
- interessert
- introdusere
- invitasjon
- IT
- Jobb
- jpg
- Etiketten
- innsjø
- innsjøer
- stor
- Store bedrifter
- lansere
- LÆRE
- Nivå
- BEGRENSE
- LINK
- lenker
- lokal
- plassering
- steder
- maskin
- gjøre
- GJØR AT
- administrer
- fikk til
- ledelse
- forvalter
- mange
- matchende
- mekanisme
- Meny
- mesh
- kunne
- mer
- flytte
- flere
- må
- navn
- oppkalt
- Naviger
- Navigasjon
- nødvendig
- Trenger
- nødvendig
- Ny
- neste
- Nei.
- bærbare
- notatbøker
- nå
- objekt
- of
- ofte
- on
- bare
- åpen
- operasjonell
- or
- Annen
- vår
- ut
- produksjon
- eieren
- brød
- banen
- påvente
- tillatelse
- tillatelser
- plato
- Platon Data Intelligence
- PlatonData
- Politikk
- Post
- makt
- forutsetninger
- forrige
- Principal
- rektorer
- prinsipp
- prinsipper
- produsent
- Produkt
- Produkter
- Profil
- Profiler
- gi
- forutsatt
- gir
- formål
- Python
- spørsmål
- spørsmål
- R
- RAM
- Raw
- rådata
- klar
- redusere
- referere
- region
- registrere
- registrert
- registrering
- slipp
- anmode
- ressurs
- Ressurser
- resultere
- Resultater
- Rolle
- roller
- Kjør
- rennende
- lønn
- salg
- samme
- Skala
- Vitenskap
- Forsker
- forskere
- script
- Seksjon
- seksjoner
- se
- valgt
- senior
- separat
- server
- Tjenester
- Session
- sett
- innstilling
- innstillinger
- oppsett
- Del
- delt
- Aksjer
- deling
- hun
- bør
- viste
- undertegne
- signert
- signering
- Enkelt
- enkelt
- Software
- programvareutvikling
- solgt
- løsning
- Solutions
- Kilder
- Spark
- stable
- Trinn
- Steps
- lagring
- oppbevare
- lagret
- butikker
- rett fram
- studio
- innsendt
- slik
- levere
- Støtter
- Systemer
- bord
- TAG
- lag
- mal
- midlertidig
- test
- Det
- De
- deres
- Dem
- deretter
- derfor
- denne
- De
- Gjennom
- tidslinje
- til
- verktøy
- transitt
- prøve
- to
- typen
- typisk
- ui
- etter
- underliggende
- Opplasting
- URL
- us
- bruke
- brukt
- Bruker
- Brukere
- bruker
- ved hjelp av
- verdi
- verifisere
- versjon
- av
- Se
- visualisere
- gå
- we
- web
- Nettlesere
- webtjenester
- var
- når
- hvilken
- hele
- vil
- med
- innenfor
- arbeid
- ville
- skrive
- skrevet
- yaml
- du
- Din
- zephyrnet
- Zip