Amazon EMR Studio este un mediu de dezvoltare integrat (IDE) care permite oamenilor de știință și inginerilor de date să dezvolte, să vizualizeze și să depaneze aplicații de inginerie și știință a datelor scrise în R, Python, Scala și PySpark. EMR Studio oferă notebook-uri și instrumente Jupyter complet gestionate, cum ar fi Spark UI și YARN Timeline Server prin EMR Studio Workspaces. Puteți atașa un spațiu de lucru EMR Studio la un cluster EMR și puteți utiliza puterea de calcul a clusterului EMR și puteți rula lucrări de știință a datelor pe cluster. Datele sunt adesea stocate în lacuri de date gestionate de Formația lacului AWS, permițându-vă să aplicați un control precis al accesului printr-un mecanism simplu de acordare sau revocare.
Suntem bucuroși să vă prezentăm roluri de rulare pentru EMR Studio Workspaces. Acum puteți defini un rol de rulare și îl puteți atribui unui cluster EMR atunci când atașați un spațiu de lucru EMR Studio. Joburile din clusterul EMR vor folosi acest rol de rulare pentru a accesa resursele AWS. După configurarea unui rol de execuție, puteți utiliza și Lake Formation și aplica un control precis al accesului la date pentru joburile trimise de EMR Studio Workspace.
Anterior, la atașarea EMR Studio Workspaces la clustere EMR, toate Workspaces trebuiau să folosească același Gestionarea identității și accesului AWS (IAM) – și anume, al clusterului Cloud Elastic de calcul Amazon Profilul instanței (Amazon EC2). Prin urmare, toate spațiile de lucru atașate aceluiași cluster EMR au avut același acces la date. Pentru a controla accesul la sursele de date, fiecare spațiu de lucru EMR Studio a trebuit să utilizeze un cluster EMR diferit și au fost necesare mai multe profiluri de instanță EMR.
Începând cu lansarea Amazon EMR 6.11, acum puteți alege un rol de rulare atunci când atașați un spațiu de lucru EMR Studio la un cluster EMR. Acest rol de rulare limitează accesul la nivel de spațiu de lucru. Joburile dvs. Apache Livy și Apache Spark care rulează din EMR Studio Workspaces vor avea permisiunea de a accesa numai datele și resursele permise de politicile atașate rolului de rulare. De asemenea, atunci când datele sunt accesate din lacurile de date gestionate cu Lake Formation, puteți aplica un control precis al accesului la date folosind permisiunile Lake Formation. Acest lucru vă ajută să reduceți cheltuielile operaționale.
În această postare, demonstrăm cum să configurați rolurile de rulare pentru EMR Studio Workspaces și să atașăm un spațiu de lucru la un cluster EMR cu roluri de rulare. Deoarece întreprinderile mari folosesc de obicei mai multe conturi AWS și multe dintre aceste conturi ar putea avea nevoie de acces la un lac de date gestionat de un singur cont AWS, exemplul nostru utilizează două conturi AWS. Vă explicăm cum să controlați accesul la rolurile de rulare EMR Studio, să gestionați accesul la date între conturi dintr-un lac de date prin Lake Formation și să impuneți permisiunile la nivel de tabel și la nivel de coloană pentru rolurile de rulare EMR.
Prezentare generală a soluțiilor
Pentru a demonstra un control fin al accesului, creăm un eșantion AWS Adeziv baza de date numită companie și gestionați permisiunea pentru baza de date în Lake Formation. Baza de date constă din două tabele separate:
- de angajați – Acest tabel stochează informații despre angajații companiei, inclusiv ID-ul angajatului, numele, departamentul și salariul
- produse – Acest tabel stochează informații despre produsele vândute de companie, inclusiv ID-ul produsului, numele, categoria și prețul
Pentru a demonstra controlul accesului la date, luăm în considerare următorii utilizatori de date:
- Alice, un cercetător al datelor din echipa de vânzări – Ar trebui să aibă acces numai în citire la toate coloanele din
products
tabelul și coloanele selectate, inclusiv uID, numele și departamentul dinemployees
tabel - Bob, un cercetător al datelor din echipa de resurse umane – Ar trebui să aibă acces numai în citire la toate coloanele din
employees
tabel și nu ar trebui să aibă acces laproducts
tabel
Pentru a demonstra partajarea datelor între conturi, luăm în considerare două conturi:
- Contul de producător de date – Ne referim la acest cont ca
123456789012
în această postare. Acest cont gestionează datele brute în Serviciul Amazon de stocare simplă (Amazon S3) și scrie date în lacul de date. Thecompany
baza de date și tabelele ar trebui să fie în acest cont. - Cont de consumator de date – Ne referim la acest cont ca
111122223333
în această postare. Acest cont este accesat direct de către utilizatori pentru analiza datelor și nu are acces de scriere la date. Acest cont ar trebui să fie accesibil de către Alice și Bob.
Arhitectura este implementată după cum urmează:
- Contul de producător de date gestionează un lac de date. Datele brute sunt stocate în compartimente S3 și catalogate în Catalogul de date AWS Glue.
- Lake Formation în contul de producător de date guvernează accesul la date prin intermediul Catalogului de date și oferă partajarea datelor între conturi cu contul de consumator de date.
- Lake Formation în contul de consumator de date guvernează accesul între conturi la lacul de date la nivel de tabel și permisiunile detaliate Lake Formation. Pentru mai multe informații, consultați Metode de control al accesului cu granulație fină.
- Spațiile de lucru EMR Studio din contul de consumator de date utilizează roluri de rulare atunci când rulează joburi pe un cluster EMR.
- Clusterul EMR se conectează la Glue Data Catalog în contul de consumator de date și interogează datele din lacul de date prin partajarea datelor între conturi.
Următoarea diagramă ilustrează această arhitectură.
În secțiunile următoare, parcurgem pașii pentru a partaja date între conturi prin Lake Formation, rulăm un spațiu de lucru EMR Studio cu roluri de rulare și demonstrăm un control precis al accesului.
Cerințe preliminare
Ar trebui să aveți următoarele condiții preliminare:
Creați infrastructura în contul de producător de date
Parcurgeți următorii pași pentru a crea resursele de infrastructură:
- Conectați-vă la contul AWS a producătorului de date (
123456789012
). - Alege Lansați Stack pentru a implementa un șablon CloudFormation pentru a crea resursele necesare.
- Pentru DataLakeBucketSuffix, introduceți sufixul pentru găleata S3 utilizată de lacul de date. Întregul nume al compartimentului S3 care va fi creat va fi
{AwsAccoundId}-{AwsRegion}-{DataLakeBucketSuffix}
. - După ce stiva CloudFormation este creată, navigați la ieşiri fila stivei și capturați valoarea de
DataLakeS3Bucket
pentru a utiliza la pasul următor.
Creați fișiere de date și încărcați-le în Amazon S3 în contul de producător de date
Configurați-vă AWS CLI pentru a utiliza identitatea IAM cu permisiunea de a încărca în DataLakeS3BucketName în contul AWS a producătorului de date (123456789012
), sau vă puteți conecta la CloudShell folosind Consola de administrare AWS. Parcurgeți următorii pași:
- Pe mașina dvs. locală, mutați la un director la alegere cu comanda cd, de exemplu,
cd ~
. - Pornește scenariu cu
chmod 744 create_sample_data.sh && ./create_sample_data.sh <DataLakeS3BucketName>
.
Scriptul va crea un subdirector tmp
în directorul de lucru actual, creați datele de testare în fișiere CSV și încărcați fișierele în DataLakeS3BucketName
Găleată S3.
Configurați Lake Formation în contul de producător de date
În această secțiune, parcurgem pașii pentru a configura Lake Formation în contul de producător de date.
Configurați setările versiunii de partajare a datelor pe mai multe conturi Lake Formation
Lake Formation acceptă mai multe versiuni de partajare a datelor. Pentru această postare, folosim versiunea 3. Pentru a afla mai multe despre diferențele dintre versiunile de partajare a datelor, consultați Se actualizează setările versiunii de partajare a datelor pe mai multe conturi. Pentru a schimba versiunea de partajare a datelor, consultați Pentru a activa noua versiune.
Înregistrați locația Amazon S3 ca locație a lacului de date
Cand tu înregistrați o locație Amazon S3 cu Lake Formation, specificați un rol IAM cu permisiuni de citire/scriere în locația respectivă. După înregistrare, atunci când clusterele EMR solicită acces la această locație Amazon S3, Lake Formation va furniza acreditările temporare ale rolului furnizat pentru a accesa datele. Noi deja am creat rolul LakeFormationCompanyDatabaseDataAccessRole
în acest scop în pasul precedent. Pentru a înregistra locația Amazon S3 ca locație a lacului de date, parcurgeți următorii pași:
- Deschideți consola Lake Formation cu administratorul lacului de date Lake Formation în contul de producător de date (
123456789012
). - În panoul de navigare, alegeți Locațiile lacului de date în Administrare.
- Alege Înregistrați locația.
- Pentru Calea Amazon S3, introduce
s3://<DataLakeS3BucketName>/company-database
. - Pentru Rolul IAM, introduce
LakeFormationCompanyDatabaseDataAccessRole
. - Pentru Modul de permisiune, Selectați Formarea Lacului.
- Alege Înregistrați locația.
Revocați permisiunile acordate IAMAAllowedPrincipals
IAMAllowedPrincipals
grupul include toți utilizatorii și rolurile IAM cărora li se permite accesul la resursele catalogului de date prin politicile dvs. IAM. La aplicarea modelului Lake Formation, avem nevoie să revoca permisiunea de la IAMAllowedPrincipals folosind următorii pași:
- Deschideți consola Lake Formation cu administratorul lacului de date Lake Formation în contul de producător de date.
- În panoul de navigare, alegeți Permisiunile lacului de date din Permisiuni.
- Filtrați permisiunile după
Database = company
șiPrinciple=IAMAllowedPrinciples
. - Selectați toate permisiunile acordate directorului
IAMAllowedPrincipals
Și alegeți Revoca.
Configurați setările de integrare a aplicației
Pentru a aplica permisiunile pentru clusterul EMR, trebuie să înregistrați o valoare a etichetei de sesiune la Lake Formation. Lake Formation folosește această etichetă de sesiune pentru a autoriza apelanții și pentru a oferi acces la lacul de date. Ne înregistrăm Amazon EMR
ca valoare a etichetei de sesiune. Această valoare va fi referită în configurația de securitate la crearea clusterului EMR.
Configurați eticheta de sesiune utilizând următorii pași:
- Deschideți consola Lake Formation cu administratorul lacului de date Lake Formation în contul de producător de date.
- Alege Setări de integrare a aplicației în Administrare în panoul de navigare.
- Selectați Permiteți motoarelor externe să filtreze datele din locațiile Amazon S3 înregistrate la Lake Formation.
- Pentru Valorile etichetelor de sesiune, introduce
Amazon EMR
. - Pentru ID-urile conturilor AWS, introduceți ID-ul contului AWS al consumatorului de date (
111122223333
). - Alege Economisiți.
Partajați baza de date și tabelele în contul de consumator de date
Acum acordăm permisiuni pentru contul AWS de consumator de date, inclusiv permisiunile care pot fi acordate. Acest lucru permite administratorului lacului de date Lake Formation din contul de consumator de date să controleze accesul la datele din cont.
Acordați permisiuni pentru baza de date pentru contul de consumator de date
Urmați pașii următori:
- Deschideți consola Lake Formation cu administratorul lacului de date Lake Formation în contul de producător de date.
- În panoul de navigare, alegeți Baze de date.
- Selectați baza de date
company
, și pe Acţiuni meniu, sub Permisiuni, alege Grant. - În Principii secțiune, selectați Conturi externe și introduceți contul AWS de consumator de date (
111122223333
). - În LF-Tags sau resurse de catalog secțiune, pentru a alege
company
pentru Baze de date. - În Permisiunile bazei de date secțiune, selectați Descrie pentru ambele Permisiunile bazei de date și Permisiuni acordabile.
Acest lucru permite administratorului lacului de date din contul de consumator de date să descrie baza de date și să acorde permisiuni de descriere altor directori din contul de consumator de date.
- Alege Grant.
Acordați permisiuni pentru tabel pentru contul de consumator de date
Urmați pașii următori:
- Deschideți consola Lake Formation cu administratorul lacului de date Lake Formation în contul de producător de date.
- În panoul de navigare, alegeți Mese.
- selectaţi
products
tabel, care aparținecompany
baza de date, iar pe Acţiuni meniu, sub Permisiuni, alege Grant. - În Principii secțiune, selectați Conturi externe și introduceți în contul AWS de consumator de date (
111122223333
). - În LF-Tags sau resurse de catalog secțiune, selectați Resurse de catalog de date denumite și specificați următoarele:
- Pentru Baze de date, alege
company
. - Pentru Mese, alege
products
șiemployees
.
- Pentru Baze de date, alege
- În Permisiuni de tabel secțiune, pentru a alege Selectați și Descrie pentru ambele Permisiuni de tabel și Permisiuni acordabile.
Acest lucru permite administratorului lacului de date din contul de consumator de date să selecteze și să descrie tabelele și să acorde permisiuni de selectare și descriere a tabelelor altor directori din contul de consumator de date.
- În Permisiuni de date secțiune, selectați Acces la toate datele.
- Alege Grant.
Acum am terminat de configurat contul de producător de date.
Configurați infrastructura în contul de consumator de date
Parcurgeți următorii pași pentru a crea resursele de infrastructură:
- Conectați-vă la contul de consumator de date (
111122223333
). - Alege Lansați stiva pentru a implementa un șablon CloudFormation pentru a crea resursele necesare.
- Pentru Eticheta de lansare, introduceți eticheta de lansare Amazon EMR de utilizat, care poate fi numai emr-6.11 sau o versiune ulterioară.
- Pentru InstanceType, alegeți tipul de instanță pentru clusterul EMR, cum ar fi r4.4xlarge.
- Pentru EMRS3BucketNameSuffix, introduceți sufixul compartimentului S3 pentru a stoca jurnalele de cluster EMR și fișierele blocnotes EMR. Numele complet al compartimentului S3 care va fi creat va fi
{AWSAccoundId}-{AWSRegion}-{EMRS3BucketNameSuffix}
. - Pentru S3PathToInTransitCertificate, introduceți calea S3 pentru fișierul .zip care conține fișierele .pem utilizate pentru criptarea în tranzit.
Pentru instrucțiuni despre crearea fișierului .zip care conține fișierele .pem și încărcarea acestora în compartimentul S3, consultați Furnizarea de certificate pentru criptarea datelor în tranzit cu criptarea Amazon EMR.
- După ce stiva CloudFormation este creată, navigați la ieşiri fila stivei.
- Capturați valoarea de
EMRStudioLink
de utilizat pentru a vă conecta la EMR Studio.
Acceptați cota de resurse în contul de consumator de date
Pentru a accesa resursele partajate, trebuie să acceptați mai întâi invitația.
- Deschideți consola AWS RAM a contului de consumator de date cu identitatea IAM care are acces AWS RAM.
- În panoul de navigare, alegeți Distribuirea resurselor în Împărțit cu mine.
Ar trebui să vedeți două partajări de resurse în așteptare din contul producătorului de date.
- Acceptați ambele partajări de resurse.
Ar trebui să vedeți company
Bază de date, employees
masă, și products
tabel din Catalogul de date.
Configurați Lake Formation în contul de consumator de date
În această secțiune, parcurgem pașii pentru a configura Lake Formation în contul de consumator de date.
Configurați setările de integrare a aplicației
Similar cu configurarea din contul de producător de date, trebuie să înregistrați Amazon EMR ca etichetă de sesiune. Această valoare este referită în configurația de securitate la crearea clusterului EMR în stiva CloudFormation.
Pentru a face acest lucru, parcurgeți următorii pași:
- Deschideți consola Lake Formation cu administratorul lacului de date Lake Formation în contul de consumator de date (
111122223333
). - Alege Setări de integrare a aplicației în Administrare în panoul de navigare.
- Selectați Permiteți motoarelor externe să filtreze datele din locațiile Amazon S3 înregistrate la Lake Formation.
- Pentru Valorile etichetelor de sesiune, introduce
Amazon EMR
. - Pentru ID-urile conturilor AWS, introduceți ID-ul contului AWS al consumatorului de date (
111122223333
). - Alege Economisiți.
Acordați permisiuni descrise pentru rolurile de rulare în baza de date implicită
Dacă nu aveți o bază de date implicită în Lake Formation sau baza de date implicită are deja permisiuni pentru a le acorda IAMAllowedPrinciples
, puteți sări peste acest pas.
Amazon EMR va verifica în mod implicit baza de date implicită. Dacă aveți deja o bază de date implicită în Lake Formation, acordați permisiunea de descriere rolurilor de rulare din baza de date implicită, parcurgând următorii pași:
- Deschideți consola Lake Formation cu utilizatorul administrator al lacului de date Lake Formation în contul de consumator de date.
- În panoul de navigare, alegeți Baze de date.
- Selectați baza de date implicită, verificați dacă ID-ul contului proprietarului este contul de consumator de date (
111122223333
), iar pe Acţiuni meniu, alegeți Grant. - În Secțiunea Principii, Selectați Utilizatori și roluri IAM.
- Pentru Utilizatori și roluri IAM, alege
sales-runtime-role
șihuman-resource-runtime-role
. - Pentru LF-Tags sau resurse de catalog, Selectați Resurse de catalog de date denumite și alege implicit pentru Baze de date.
- În Permisiunile bazei de date secțiune, pt Permisiunile bazei de date, alege Descrie.
- Alege Grant.
Creați o legătură de resursă pentru baza de date partajată
Pentru a accesa baza de date și resursele tabelului care au fost partajate de contul AWS de producător de date, trebuie să creați un link de resurse în contul AWS de consumator de date. O legătură de resursă este un obiect Catalog de date care este o legătură către o bază de date sau un tabel local sau partajat. După ce creați o legătură de resursă către o bază de date sau un tabel, puteți utiliza numele link-ului la resursă oriunde ați folosi numele bazei de date sau tabelului. În acest pas, acordați permisiunea legaturilor de resurse către principiile rolului de rulare. Rolurile de rulare vor accesa apoi datele din bazele de date partajate și tabelele subiacente prin linkul de resurse.
Pentru a crea un link de resursă, parcurgeți următorii pași:
- Deschideți consola Lake Formation cu administratorul lacului de date Lake Formation în contul de consumator de date.
- În panoul de navigare, alegeți Baze de date.
- selectaţi
company
baza de date, verificați dacă ID-ul contului proprietarului este contul producătorului de date (123456789012
), iar pe Acţiuni meniu, alegeți Creați linkuri de resurse. - Pentru Numele linkului resurselor, introduceți numele linkului resursă (de exemplu,
company-shared
). - Pentru Regiunea comună a bazei de date, alegeți Regiunea
company
Bază de date. - Pentru Baza de date partajată, alege baza de date a companiei.
- Pentru ID-ul proprietarului bazei de date partajat, introduceți ID-ul contului contului de producător de date (
123456789012
). - Alege Crea.
Acordați permisiuni pe legătura de resursă la principiul rolului de rulare
Acordați permisiuni pe linkul de resursă către rol-ul de rulare a vânzărilor și rol-rul-execuție-resurse umane utilizând următorii pași:
- Deschideți consola Lake Formation cu administratorul lacului de date Lake Formation în contul de consumator de date.
- În panoul de navigare, alegeți Baze de date.
- Selectați linkul de resursă (
company-shared
) și pe Acţiuni meniu, alegeți Grant. - În Principii secțiune, selectați Utilizatori și roluri IAMși alegeți
sales-runtime-role
șihuman-resource-runtime-role
. - În LF-Tags sau resurse de catalog secțiune, pt Baze de date, alege
company-shared
. - În Permisiuni pentru linkuri de resurse secțiune, selectați Descrie.
Acest lucru permite rolurilor de rulare să descrie legătura de resursă. Nu facem nicio selecție pentru permisiunile care pot fi acordate, deoarece rolurile de rulare nu ar trebui să poată acorda permisiuni pentru alte principii.
- Alege Grant.
Acordați permisiunea pe tabele principiului rolului de rulare
Trebuie să acordați permisiuni pe tabele pentru sales-runtime-role
și human-resource-runtime-role
pentru a permite accesul la date:
Human-resource-runtime-role
ar trebui să aibă permisiuni de descriere și de selectare pentru toate coloanele dinemployees
tabel și fără permisiuni pentruproducts
tabel.Sales-runtime-role
ar trebui să aibă permisiuni de selectare pe coloaneuid
,name
, șidepartment
înemployees
tabel și descrieți și selectați permisiunile pentru toate coloanele dinproducts
tabel.
Acordați permisiunea de pe tabelul de angajați pentru rolul-resurse umane-execuție
Urmați pașii următori:
- Deschideți consola Lake Formation cu administratorul lacului de date Lake Formation în contul de consumator de date.
- În panoul de navigare, alegeți Baze de date.
- Selectați linkul de resursă (
company-shared
) și pe Acţiuni meniu, alegeți Grant on Target. - În Secțiunea Principii, Selectați Utilizatori și roluri IAM, Apoi alegeți
human-resource-runtime-role
. - În LF-Tags sau resurse de catalog secțiune, selectați Resurse de catalog de date denumite și specificați următoarele:
- Pentru Baze de date, alege
company
. - Pentru Mese¸ alege
employees
.
- Pentru Baze de date, alege
- În Permisiuni de tabel secțiune, pt Permisiuni de tabel, Selectați Descrie și Selectați.
- În Permisiuni de date secțiune, selectați Acces la toate datele.
- Alege Grant.
Acordați permisiunea pe tabelul de angajați pentru rolul vânzărilor-execuție
Urmați pașii următori:
- Deschideți consola Lake Formation cu administratorul lacului de date Lake Formation în contul de consumator de date.
- În panoul de navigare, alegeți Baze de date.
- Selectați linkul de resursă (
company-shared
) și pe Acţiuni meniu, alegeți Grant on Target. - În Secțiunea Principii, Selectați Utilizatori și roluri IAM, Apoi alegeți
sales-runtime-role
. - În LF-Tags sau resurse de catalog secțiune, selectați Resurse de catalog de date denumite și specificați următoarele:
- Pentru Baze de date, alege
company
. - Pentru Mese, alege
employees
.
- Pentru Baze de date, alege
- În Permisiuni de tabel secțiune, pt Permisiuni de tabel, Selectați Selectați.
- În Permisiuni de date secțiune, selectați Acces pe coloane.
- Selectați Includeți coloane și alegeți
uid
,name
, șidepartment
coloane. - Alege Grant.
Acordați permisiunea de pe tabelul de produse pentru vânzări-rol-execuție
Urmați pașii următori:
- Deschideți consola Lake Formation cu administratorul lacului de date Lake Formation în contul de consumator de date.
- În panoul de navigare, alegeți Baze de date.
- Selectați linkul de resursă (
company-shared
) și pe Acţiuni meniu, alegeți Grant on Target. - În Secțiunea Principii, Selectați Utilizatori și roluri IAM, Apoi alegeți
sales-runtime-role
. - În LF-Tags sau resurse de catalog secțiune, selectați Resurse de catalog de date denumite și specificați următoarele:
- Pentru Baze de date, alege
company
. - Pentru Mese, alege
products
.
- Pentru Baze de date, alege
- În Permisiuni de tabel secțiune, pt Permisiuni de tabel, Selectați Selectați și Descrie.
- În Permisiuni de date secțiune, selectați Acces la toate datele.
- Alege Grant.
Conectați-vă la EMR Studio și utilizați EMR Studio Workspace
Schimbați-vă rolul la alice-role
or bob-role
pe consolă folosind diferite browsere web pentru a testa accesul. Deschide EMRStudioLink
Adresa URL din ieșirea stivei CloudFormation pentru a vă conecta la EMR Studio cu fiecare rol, apoi parcurgeți următorii pași:
- Alege Spațiile de lucru în panoul de navigare și alegeți Creați spațiu de lucru.
- Introduceți un nume și o descriere pentru spațiul de lucru.
- Alege Creați spațiu de lucru.
O filă nouă care conține JupyterLab se va deschide automat când spațiul de lucru este gata. Activați ferestrele pop-up în browser dacă este necesar.
- A ales Calcula pictograma din panoul de navigare pentru a atașa spațiul de lucru EMR Studio cu un motor de calcul.
- Selectați cluster EMR pe EC2 pentru Tipul de calcul.
- Alegeți ID-ul clusterului EMR pe care l-ați creat cu AWS CloudFormation.
- Pentru Rol de rulare, alege
sales-runtime-role
dacă sunteți conectat caalice-role
. Alegehuman-resource-runtime-role
dacă sunteți conectat cabob-role
. - Alege Atașa.
Rulați codul în EMR Studio Workspace și verificați accesul la date
Rulați următorul cod în EMR Studio Workspace cu un nucleu PySpark după ce vă conectați cu alice-role sau bob-role:
Ar trebui să vedeți rezultate diferite când utilizați roluri diferite.
Conform configurației noastre de acces la date în Lake Formation, Alice va avea acces complet la date pentru products
masa. Ea poate vizualiza toate coloanele cu excepția salariului din employees
tabel.
Pentru Bob, conform configurației noastre de acces la date în Lake Formation, el va avea acces complet la date la employees
masă, dar nu are acces la products
tabel.
A curăța
Când ați terminat de experimentat cu această soluție, curățați-vă resursele:
- Opriți și ștergeți spațiile de lucru EMR Studio create în contul AWS de consumator de date.
- Ștergeți tot conținutul din compartimentul S3
EMRS3Bucket
în contul AWS de consumator de date. - Ștergeți stiva CloudFormation din contul AWS de consumator de date.
- Ștergeți tot conținutul din compartimentul S3
DataLakeS3Bucket
în contul AWS a producătorului de date. - Ștergeți stiva CloudFormation din contul AWS a producătorului de date.
Concluzie
Această postare a arătat cum puteți utiliza rolurile de execuție pentru a vă conecta la un spațiu de lucru EMR Studio cu Amazon EMR pentru a aplica controlul precis al accesului la date pe mai multe conturi cu Lake Formation. Am demonstrat, de asemenea, modul în care mai mulți utilizatori EMR Studio se pot conecta la același cluster EMR, fiecare folosind un rol de rulare cu permisiuni care se potrivesc cu nivelul lor individual de acces la date.
Pentru a afla mai multe despre utilizarea EMR Studio Workspaces cu Lake Formation, consultați Rulați un spațiu de lucru EMR Studio cu un rol de rulare. Vă încurajăm să încercați această nouă funcționalitate și să vă conectați cu noi dacă aveți întrebări sau feedback!
Despre Autori
Ashley Zhou este inginer de dezvoltare software la AWS. Este interesată de analiza datelor și sistemele distribuite.
Srividya Parthasarathy este arhitect senior Big Data în echipa AWS Lake Formation. Îi place să construiască soluții de analiză și rețea de date pe AWS și să le partajeze comunității.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://aws.amazon.com/blogs/big-data/use-iam-runtime-roles-with-amazon-emr-studio-workspaces-and-aws-lake-formation-for-cross-account-fine-grained-access-control/
- :are
- :este
- :nu
- $UP
- 100
- 107
- 11
- 20
- 7
- 8
- a
- Capabil
- Despre Noi
- Accept
- acces
- Acces la date
- accesate
- accesibil
- Conform
- Cont
- Conturi
- peste
- După
- alice
- TOATE
- permite
- permis
- permite
- deja
- de asemenea
- Amazon
- Amazon EC2
- Amazon EMR
- Amazon Web Services
- an
- analiză
- Google Analytics
- și
- Orice
- Apache
- Apache Spark
- aplicație
- aplicatii
- Aplică
- arhitectură
- SUNT
- AS
- At
- atașa
- autoriza
- în mod automat
- AWS
- Formarea AWS Cloud
- AWS Adeziv
- Formația lacului AWS
- BE
- deoarece
- aparține
- între
- Mare
- Datele mari
- Bob
- atât
- browser-ul
- browsere
- Clădire
- dar
- by
- CAN
- captura
- catalog
- Categorii
- CD
- Certificatele
- Schimbare
- verifica
- alegere
- Alege
- curat
- Grup
- cod
- Coloane
- comunitate
- companie
- Compania
- Completă
- completarea
- Calcula
- Configuraţie
- Conectați
- Connects
- Lua în considerare
- constă
- Consoleze
- consumator
- conține
- conţinut
- Control
- crea
- a creat
- Crearea
- scrisori de acreditare
- Curent
- de date
- accesul la date
- analiza datelor
- Analiza datelor
- Lacul de date
- știința datelor
- om de știință de date
- schimbul de date
- Baza de date
- baze de date
- Mod implicit
- defini
- demonstra
- demonstrat
- Departament
- implementa
- descrie
- descriere
- dezvolta
- Dezvoltare
- diferenţele
- diferit
- direct
- distribuite
- sisteme distribuite
- do
- Nu
- Dont
- jos
- fiecare
- Angajat
- de angajați
- permite
- permițând
- încuraja
- criptare
- aplica
- Motor
- inginer
- Inginerie
- inginerii
- Motoare
- Intrați
- Companii
- Mediu inconjurator
- Eter (ETH)
- exemplu
- Cu excepția
- Explica
- extern
- Fișier
- Fişiere
- filtru
- First
- următor
- urmează
- Pentru
- formare
- din
- Complet
- complet
- funcționalitate
- dat
- Go
- guvernează
- acordarea
- acordate
- grup
- HAD
- fericit
- Avea
- he
- ajută
- Cum
- Cum Pentru a
- HTML
- http
- HTTPS
- uman
- RESURSE UMANE
- Resurse Umane
- IAM
- ID
- Identitate
- if
- ilustrează
- implementat
- in
- include
- Inclusiv
- individ
- informații
- Infrastructură
- instanță
- instrucțiuni
- integrate
- integrare
- interesat
- introduce
- invitație
- IT
- Locuri de munca
- jpg
- Etichetă
- lac
- lacuri
- mare
- Întreprinderi mari
- lansa
- AFLAȚI
- Nivel
- LIMITĂ
- LINK
- Link-uri
- local
- locaţie
- Locații
- maşină
- face
- FACE
- administra
- gestionate
- administrare
- gestionează
- multe
- potrivire
- mecanism
- Meniu
- ochiurilor de plasă
- ar putea
- mai mult
- muta
- multiplu
- trebuie sa
- nume
- Numit
- Navigaţi
- Navigare
- necesar
- Nevoie
- necesar
- Nou
- următor
- Nu.
- caiet
- notebook-uri
- acum
- obiect
- of
- de multe ori
- on
- afară
- deschide
- operațional
- or
- Altele
- al nostru
- afară
- producție
- proprietar
- pâine
- cale
- în așteptarea
- permisiune
- permisiuni
- Plato
- Informații despre date Platon
- PlatoData
- Politicile
- Post
- putere
- premise
- precedent
- Principal
- directori
- principiu
- Principiile
- producător
- Produs
- Produse
- Profil
- Profiluri
- furniza
- prevăzut
- furnizează
- scop
- Piton
- interogări
- Întrebări
- R
- RAM
- Crud
- date neprelucrate
- gata
- reduce
- trimite
- regiune
- Inregistreaza-te
- înregistrată
- înregistrare
- eliberaţi
- solicita
- resursă
- Resurse
- rezultat
- REZULTATE
- Rol
- rolurile
- Alerga
- funcţionare
- salariu
- de vânzări
- acelaşi
- Scala
- Ştiinţă
- Om de stiinta
- oamenii de stiinta
- scenariu
- Secțiune
- secțiuni
- vedea
- selectate
- senior
- distinct
- serverul
- Servicii
- sesiune
- set
- instalare
- setări
- configurarea
- Distribuie
- comun
- Acțiuni
- partajarea
- ea
- să
- a arătat
- semna
- semnat
- semnare
- simplu
- singur
- Software
- de dezvoltare de software
- vândut
- soluţie
- soluţii
- Surse
- Scânteie
- stivui
- Pas
- paşi
- depozitare
- stoca
- stocate
- magazine
- simplu
- studio
- prezentat
- astfel de
- livra
- Sprijină
- sisteme
- tabel
- TAG
- echipă
- șablon
- temporar
- test
- acea
- lor
- Lor
- apoi
- prin urmare
- acest
- aceste
- Prin
- cronologie
- la
- Unelte
- tranzit
- încerca
- Două
- tip
- tipic
- ui
- în
- care stau la baza
- Se încarcă
- URL-ul
- us
- utilizare
- utilizat
- Utilizator
- utilizatorii
- utilizări
- folosind
- valoare
- verifica
- versiune
- de
- Vizualizare
- imagina
- umbla
- we
- web
- Browsere web
- servicii web
- au fost
- cand
- care
- întreg
- voi
- cu
- în
- de lucru
- ar
- scrie
- scris
- yaml
- tu
- Ta
- zephyrnet
- Zip