Amazon EMR Studio це інтегроване середовище розробки (IDE), яке спрощує для науковців та інженерів даних розробку, візуалізацію та налагодження програм обробки даних і науки про дані, написаних на R, Python, Scala та PySpark. EMR Studio надає повністю керовані блокноти Jupyter і такі інструменти, як Spark UI і YARN Timeline Server через EMR Studio Workspaces. Ви можете приєднати робочу область EMR Studio до кластера EMR, використовувати обчислювальну потужність кластера EMR і виконувати завдання з обробки даних у кластері. Дані часто зберігаються в озерах даних, якими керує Формування озера AWS, що дозволяє застосовувати детальний контроль доступу за допомогою простого механізму надання або скасування.
Ми раді представити ролі під час виконання для EMR Studio Workspaces. Тепер ви можете визначити роль середовища виконання та призначити її кластеру EMR під час приєднання робочого простору EMR Studio. Завдання в кластері EMR використовуватимуть цю роль середовища виконання для доступу до ресурсів AWS. Після налаштування ролі середовища виконання ви також можете використовувати Lake Formation і застосувати детальне керування доступом до даних для завдань, надісланих EMR Studio Workspace.
Раніше, під час приєднання робочих областей EMR Studio до кластерів EMR, усі робочі області повинні були використовувати однакові Управління ідентифікацією та доступом AWS (IAM), а саме роль кластера Обчислювальна хмара Amazon Elastic (Amazon EC2) профіль екземпляра. Тому всі робочі області, підключені до одного кластера EMR, мали однаковий доступ до даних. Щоб контролювати доступ до джерел даних, кожна робоча область EMR Studio Workspace повинна була використовувати інший кластер EMR, а також потрібні були кілька профілів екземплярів EMR.
Починаючи з випуску Amazon EMR 6.11, тепер ви можете вибрати роль середовища виконання під час приєднання робочого простору EMR Studio до кластера EMR. Ця роль середовища виконання обмежена доступом на рівні робочої області. Ваші завдання Apache Livy та Apache Spark, які виконуються з робочих просторів EMR Studio, матимуть дозвіл на доступ лише до даних і ресурсів, дозволених політиками, доданими до ролі середовища виконання. Крім того, коли доступ до даних здійснюється з озер даних, якими керує Lake Formation, ви можете застосувати детальний контроль доступу до даних за допомогою дозволів Lake Formation. Це допоможе вам зменшити операційні витрати.
У цій публікації ми демонструємо, як налаштувати ролі середовища виконання для робочих просторів EMR Studio та підключити робоче середовище до кластера EMR із ролями середовища виконання. Оскільки великі підприємства зазвичай використовують кілька облікових записів AWS, і багатьом із цих облікових записів може знадобитися доступ до озера даних, яким керує один обліковий запис AWS, у нашому прикладі використовуються два облікові записи AWS. Ми пояснюємо, як контролювати доступ до ролей середовища виконання EMR Studio, керувати доступом до даних між обліковими записами в озері даних за допомогою Lake Formation і застосовувати дозволи на рівні таблиць і стовпців для ролей середовища виконання EMR.
Огляд рішення
Щоб продемонструвати точне керування доступом, ми створюємо зразок Клей AWS компанію з назвою бази даних і керуйте дозволом бази даних у Lake Formation. База даних складається з двох окремих таблиць:
- співробітників – У цій таблиці зберігається інформація про співробітників компанії, включаючи ідентифікатор працівника, ім’я, відділ і зарплату
- продукти – У цій таблиці зберігається інформація про продукти, які продає компанія, включаючи ідентифікатор продукту, назву, категорію та ціну
Щоб продемонструвати контроль доступу до даних, ми розглядаємо таких користувачів даних:
- Аліса, спеціаліст із обробки даних у відділі продажів – Вона повинна мати доступ лише для читання до всіх стовпців у
products
таблицю та вибрані стовпці, включаючи uID, назву та відділ уemployees
таблиця - Боб, спеціаліст із обробки даних у відділі кадрів – Він повинен мати доступ лише для читання до всіх стовпців у
employees
і не повинні мати доступу доproducts
таблиця
Щоб продемонструвати обмін даними між обліковими записами, ми розглядаємо два облікові записи:
- Обліковий запис виробника даних – Ми називаємо цей обліковий запис
123456789012
в цій публікації. Цей обліковий запис керує необробленими даними в Служба простого зберігання Amazon (Amazon S3) і записує дані в озеро даних. Thecompany
база даних і таблиці повинні бути в цьому обліковому записі. - Обліковий запис споживача даних – Ми називаємо цей обліковий запис
111122223333
в цій публікації. Користувачі мають прямий доступ до цього облікового запису для аналізу даних і не мають права запису до даних. Цей обліковий запис має бути доступний Алісі та Бобу.
Архітектура реалізована наступним чином:
- Обліковий запис виробника даних керує озером даних. Необроблені дані зберігаються у відрах S3 і каталогізуються в каталозі даних AWS Glue.
- Lake Formation в обліковому записі виробника даних керує доступом до даних через каталог даних і забезпечує обмін даними між обліковими записами з обліковим записом споживача даних.
- Lake Formation в обліковому записі споживача даних керує міжобліковим доступом до озера даних на рівні таблиці та детальними дозволами Lake Formation. Для отримання додаткової інформації див Методи тонкого контролю доступу.
- Робочі області EMR Studio в обліковому записі споживача даних використовують ролі середовища виконання під час виконання завдань у кластері EMR.
- Кластер EMR підключається до Glue Data Catalog в обліковому записі споживача даних і запитує дані з озера даних через обмін даними між обліковими записами.
Наступна схема ілюструє цю архітектуру.
У наступних розділах ми розглядаємо кроки для обміну даними між обліковими записами через Lake Formation, запускаємо робочу область EMR Studio з ролями середовища виконання та демонструємо детальний контроль доступу.
Передумови
Ви повинні мати такі передумови:
Створіть інфраструктуру в обліковому записі виробника даних
Щоб створити ресурси інфраструктури, виконайте такі кроки:
- Увійдіть в обліковий запис виробника даних AWS (
123456789012
). - Вибирати Запустити стек щоб розгорнути шаблон CloudFormation для створення необхідних ресурсів.
- для DataLakeBucketSuffix, введіть суфікс сегмента S3, який використовується озером даних. Буде створена повна назва сегмента S3
{AwsAccoundId}-{AwsRegion}-{DataLakeBucketSuffix}
. - Після створення стеку CloudFormation перейдіть до Виходи вкладку стека та зафіксуйте значення
DataLakeS3Bucket
для використання на наступному кроці.
Створіть файли даних і завантажте їх на Amazon S3 в обліковому записі виробника даних
Налаштуйте свій AWS CLI на використання ідентифікатора IAM із дозволом на завантаження в DataLakeS3BucketName в обліковому записі AWS виробника даних (123456789012
), або ви можете ввійти в CloudShell за допомогою Консоль управління AWS. Виконайте наступні дії:
- На вашій локальній машині перейдіть до каталогу за вашим вибором за допомогою команди cd, наприклад,
cd ~
. - Запустіть сценарій з
chmod 744 create_sample_data.sh && ./create_sample_data.sh <DataLakeS3BucketName>
.
Сценарій створить підкаталог tmp
у вашому поточному робочому каталозі створіть тестові дані у файлах CSV і завантажте файли в DataLakeS3BucketName
Відро S3.
Налаштуйте Lake Formation в обліковому записі виробника даних
У цьому розділі ми пройдемо кроки, щоб налаштувати Lake Formation в обліковому записі виробника даних.
Налаштуйте параметри версії обміну даними між обліковими записами Lake Formation
Lake Formation підтримує кілька версій обміну даними. Для цієї публікації ми використовуємо версію 3. Щоб дізнатися більше про відмінності між версіями обміну даними, див Оновлення налаштувань версії обміну даними між обліковими записами. Щоб змінити версію обміну даними, див Щоб увімкнути нову версію.
Зареєструйте розташування Amazon S3 як розташування озера даних
Коли ти зареєструвати місцезнаходження Amazon S3 у Lake Formation ви вказуєте роль IAM із дозволами на читання/запис у цьому місці. Після реєстрації, коли кластери EMR запитують доступ до цього розташування Amazon S3, Lake Formation надасть тимчасові облікові дані наданої ролі для доступу до даних. Ми вже створили роль LakeFormationCompanyDatabaseDataAccessRole
для цього на попередньому кроці. Щоб зареєструвати розташування Amazon S3 як розташування озера даних, виконайте такі дії:
- Відкрийте консоль Lake Formation за допомогою адміністратора озера даних Lake Formation в обліковому записі виробника даних (
123456789012
). - На панелі навігації виберіть Розташування озера даних при адміністрація.
- Вибирати Зареєструвати місцезнаходження.
- для Шлях Amazon S3, введіть
s3://<DataLakeS3BucketName>/company-database
. - для Роль IAM, введіть
LakeFormationCompanyDatabaseDataAccessRole
. - для Режим дозволувиберіть Формування озера.
- Вибирати Зареєструвати місцезнаходження.
Відкликати дозволи, надані IAMAllowedPrincipals
Команда IAMAllowedPrincipals
група містить будь-яких користувачів і ролі IAM, яким дозволено доступ до ваших ресурсів каталогу даних відповідно до ваших політик IAM. до запровадити модель утворення озера, нам потрібно відкликати дозвіл від IAMAllowedPrincipals за допомогою таких кроків:
- Відкрийте консоль Lake Formation за допомогою адміністратора озера даних Lake Formation в обліковому записі виробника даних.
- На панелі навігації виберіть Дозволи озера даних у розділі Дозволи.
- Фільтрувати дозволи за
Database = company
таPrinciple=IAMAllowedPrinciples
. - Виберіть усі дозволи, надані принципалу
IAMAllowedPrincipals
І вибирай Відкликати.
Налаштуйте параметри інтеграції програми
Щоб застосувати дозволи для кластера EMR, вам потрібно зареєструвати значення тегу сеансу в Lake Formation. Lake Formation використовує цей тег сеансу для авторизації абонентів і надання доступу до озера даних. Ми реєструємося Amazon EMR
як значення тегу сеансу. Це значення буде вказано в конфігурація безпеки при створенні кластера EMR.
Налаштуйте тег сеансу, виконавши такі кроки:
- Відкрийте консоль Lake Formation за допомогою адміністратора озера даних Lake Formation в обліковому записі виробника даних.
- Вибирати Налаштування інтеграції програми при адміністрація у навігаційній панелі.
- Select Дозволити зовнішнім механізмам фільтрувати дані в розташуваннях Amazon S3, зареєстрованих у Lake Formation.
- для Значення тегів сесії, введіть
Amazon EMR
. - для Ідентифікатори облікових записів AWS, введіть ідентифікатор облікового запису споживача даних AWS (
111122223333
). - Вибирати зберегти.
Надайте доступ до бази даних і таблиць обліковому запису споживача даних
Тепер ми надаємо дозволи для облікового запису споживача даних AWS, включно з доступними дозволами. Це дозволяє адміністратору озера даних Lake Formation в обліковому записі споживача даних контролювати доступ до даних в обліковому записі.
Надайте дозволи на базу даних обліковому запису споживача даних
Виконайте такі дії:
- Відкрийте консоль Lake Formation за допомогою адміністратора озера даних Lake Formation в обліковому записі виробника даних.
- На панелі навігації виберіть Бази даних.
- Виберіть базу даних
company
, і на Дії меню, під Дозволивиберіть Грант. - У Принципи розділ, виберіть Зовнішні рахунки і введіть обліковий запис користувача AWS (
111122223333
). - У LF-теги або ресурси каталогу розділ, вибрати
company
та цінності Бази даних. - У Дозволи до бази даних розділ, виберіть Описувати як для Дозволи до бази даних та Надання дозволів.
Це дозволяє адміністратору озера даних в обліковому записі споживача даних описувати базу даних і надавати дозволи на опис іншим принципалам в обліковому записі споживача даних.
- Вибирати Грант.
Надайте дозволи на таблицю обліковому запису споживача даних
Виконайте такі дії:
- Відкрийте консоль Lake Formation за допомогою адміністратора озера даних Lake Formation в обліковому записі виробника даних.
- На панелі навігації виберіть таблиці.
- Виберіть
products
таблиці, яка належить доcompany
бази даних, а на ст Дії меню, під Дозволивиберіть Грант. - У Принципи розділ, виберіть Зовнішні рахунки та ввести в обліковий запис споживача даних AWS (
111122223333
). - У LF-теги або ресурси каталогу розділ, виберіть Іменовані ресурси каталогу даних і вкажіть наступне:
- для Бази данихвиберіть
company
. - для таблицівиберіть
products
таemployees
.
- для Бази данихвиберіть
- У Дозволи для таблиці розділ, вибрати Select та Описувати як для Дозволи для таблиці та Надання дозволів.
Це дозволяє адміністратору озера даних в обліковому записі споживача даних вибирати й описувати таблиці, а також надавати дозволи на вибір і опис таблиці іншим принципалам в обліковому записі споживача даних.
- У Дозволи на дані розділ, виберіть Доступ до всіх даних.
- Вибирати Грант.
Тепер ми завершили налаштування облікового запису виробника даних.
Налаштуйте інфраструктуру в обліковому записі споживача даних
Щоб створити ресурси інфраструктури, виконайте такі кроки:
- Увійдіть в обліковий запис споживача даних (
111122223333
). - Вибирати Запуск стека щоб розгорнути шаблон CloudFormation для створення необхідних ресурсів.
- для Етикетка випуску, введіть мітку випуску Amazon EMR для використання, яка може бути лише emr-6.11 або новіша.
- для InstanceTypeвиберіть тип екземпляра для кластера EMR, наприклад r4.4xlarge.
- для EMRS3BucketNameSuffix, введіть суфікс відра S3, щоб зберігати журнали кластера EMR і файли блокнота EMR. Буде створена повна назва сегмента S3
{AWSAccoundId}-{AWSRegion}-{EMRS3BucketNameSuffix}
. - для S3PathToInTransitCertificate, введіть шлях S3 для файлу .zip, який містить файли .pem, які використовуються для шифрування під час передавання.
Інструкції щодо створення файлу .zip, який містить файли .pem, і завантаження їх у сегмент S3 див. Надання сертифікатів для шифрування даних під час передачі за допомогою шифрування Amazon EMR.
- Після створення стеку CloudFormation перейдіть до Виходи вкладка стека.
- Зафіксуйте значення
EMRStudioLink
використовувати для входу в EMR Studio.
Прийміть частку ресурсу в обліковому записі користувача даних
Щоб отримати доступ до спільних ресурсів, ви повинні спочатку прийняти запрошення.
- Відкрийте консоль AWS RAM облікового запису споживача даних з ідентифікатором IAM, який має доступ до AWS RAM.
- На панелі навігації виберіть Акції ресурсів при Поділився зі мною.
Ви повинні побачити два незавершені спільні ресурси з облікового запису виробника даних.
- Прийміть обидва спільні ресурси.
Ви повинні побачити company
база даних, employees
стіл і products
таблиці в каталозі даних.
Налаштуйте Lake Formation в обліковому записі споживача даних
У цьому розділі ми розглянемо кроки для налаштування Lake Formation в обліковому записі споживача даних.
Налаштуйте параметри інтеграції програми
Подібно до налаштування в обліковому записі виробника даних, вам потрібно зареєструвати Amazon EMR як тег сеансу. Це значення вказано в конфігурація безпеки під час створення кластера EMR у стеку CloudFormation.
Для цього виконайте наступні дії:
- Відкрийте консоль Lake Formation за допомогою адміністратора озера даних Lake Formation в обліковому записі користувача даних (
111122223333
). - Вибирати Налаштування інтеграції програми при адміністрація у навігаційній панелі.
- Select Дозволити зовнішнім механізмам фільтрувати дані в розташуваннях Amazon S3, зареєстрованих у Lake Formation.
- для Значення тегів сесії, введіть
Amazon EMR
. - для Ідентифікатори облікових записів AWS, введіть ідентифікатор облікового запису споживача даних AWS (
111122223333
). - Вибирати зберегти.
Надайте дозволи для опису ролям середовища виконання в базі даних за замовчуванням
Якщо у вас немає бази даних за замовчуванням у Lake Formation або ваша база даних за замовчуванням уже має дозволи для надання IAMAllowedPrinciples
, Ви можете пропустити цей крок.
Amazon EMR за умовчанням перевірятиме базу даних за умовчанням. Якщо у вас уже є база даних за замовчуванням у вашій Lake Formation, надайте дозвіл на опис для ролей середовища виконання в базі даних за замовчуванням, виконавши такі дії:
- Відкрийте консоль Lake Formation за допомогою адміністратора озера даних Lake Formation в обліковому записі користувача даних.
- На панелі навігації виберіть Бази даних.
- Виберіть базу даних за замовчуванням, переконайтеся, що ідентифікатор облікового запису власника є обліковим записом споживача даних (
111122223333
), і на Дії меню, виберіть Грант. - У Розділ принципіввиберіть Користувачі та ролі IAM.
- для Користувачі та ролі IAMвиберіть
sales-runtime-role
таhuman-resource-runtime-role
. - для LF-теги або ресурси каталогувиберіть Іменовані ресурси каталогу даних і виберіть за замовчуванням для Бази даних.
- У Дозволи до бази даних розділ, для Дозволи до бази данихвиберіть Описувати.
- Вибирати Грант.
Створіть посилання на ресурс для спільної бази даних
Щоб отримати доступ до ресурсів бази даних і таблиць, якими користувався обліковий запис AWS виробника даних, вам потрібно створити a посилання на ресурс в обліковому записі споживача даних AWS. Посилання на ресурс — це об’єкт каталогу даних, який є посиланням на локальну або спільну базу даних чи таблицю. Після створення посилання ресурсу на базу даних або таблицю ви можете використовувати ім’я посилання ресурсу там, де б використовували назву бази даних або таблиці. На цьому кроці ви надаєте дозвіл на посилання на ресурси принципам ролі середовища виконання. Тоді ролі середовища виконання отримають доступ до даних у спільних базах даних і базових таблицях через посилання на ресурс.
Щоб створити посилання на ресурс, виконайте такі дії:
- Відкрийте консоль Lake Formation за допомогою адміністратора озера даних Lake Formation в обліковому записі користувача даних.
- На панелі навігації виберіть Бази даних.
- Виберіть
company
бази даних, переконайтеся, що ідентифікатор облікового запису власника є обліковим записом виробника даних (123456789012
), і на Дії меню, виберіть Створення посилань на ресурси. - для Назва посилання на ресурс, введіть назву посилання на ресурс (наприклад,
company-shared
). - для Регіон спільної бази даних, виберіть регіон
company
бази даних. - для Спільна база даних, виберіть базу даних компанії.
- для Ідентифікатор власника спільної бази даних, введіть ідентифікатор облікового запису виробника даних (
123456789012
). - Вибирати Створювати.
Надайте дозволи на посилання на ресурс за принципом ролі середовища виконання
Надайте дозволи на посилання на ресурс для ролі середовища виконання продажів і ролі середовища виконання людських ресурсів, виконавши такі дії:
- Відкрийте консоль Lake Formation за допомогою адміністратора озера даних Lake Formation в обліковому записі користувача даних.
- На панелі навігації виберіть Бази даних.
- Виберіть посилання на ресурс (
company-shared
) і на Дії меню, виберіть Грант. - У Принципи розділ, виберіть Користувачі та ролі IAM, і вибрати
sales-runtime-role
таhuman-resource-runtime-role
. - У LF-теги або ресурси каталогу розділ, для Бази данихвиберіть
company-shared
. - У Дозволи на посилання на ресурс розділ, виберіть Описувати.
Це дозволяє ролям середовища виконання описувати посилання на ресурс. Ми не вибираємо дозволи, які можна надати, оскільки ролі середовища виконання не повинні мати можливість надавати дозволи іншим принципам.
- Вибирати Грант.
Надайте дозвіл на таблиці за принципом ролі середовища виконання
Вам потрібно надати дозволи на таблиці sales-runtime-role
та human-resource-runtime-role
щоб дозволити доступ до даних:
Human-resource-runtime-role
повинен мати опис і вибір дозволів для всіх стовпців уemployees
і немає дозволів наproducts
таблиці.Sales-runtime-role
повинні мати дозволи вибору для стовпцівuid
,name
таdepartment
вemployees
таблиці, опишіть і виберіть дозволи для всіх стовпців уproducts
таблиці.
Надайте дозвіл на таблицю співробітників ролі human-resource-runtime-role
Виконайте такі дії:
- Відкрийте консоль Lake Formation за допомогою адміністратора озера даних Lake Formation в обліковому записі користувача даних.
- На панелі навігації виберіть Бази даних.
- Виберіть посилання на ресурс (
company-shared
) і на Дії меню, виберіть Цільовий грант. - У Розділ принципіввиберіть Користувачі та ролі IAM, Потім виберіть
human-resource-runtime-role
. - У LF-теги або ресурси каталогу розділ, виберіть Іменовані ресурси каталогу даних і вкажіть наступне:
- для Бази данихвиберіть
company
. - для таблиці¸ вибрати
employees
.
- для Бази данихвиберіть
- У Дозволи для таблиці розділ, для Дозволи для таблицівиберіть Описувати та Select.
- У Дозволи на дані розділ, виберіть Доступ до всіх даних.
- Вибирати Грант.
Надайте дозвіл на таблицю співробітників ролі sales-runtime-role
Виконайте такі дії:
- Відкрийте консоль Lake Formation за допомогою адміністратора озера даних Lake Formation в обліковому записі користувача даних.
- На панелі навігації виберіть Бази даних.
- Виберіть посилання на ресурс (
company-shared
) і на Дії меню, виберіть Цільовий грант. - У Розділ принципіввиберіть Користувачі та ролі IAM, Потім виберіть
sales-runtime-role
. - У LF-теги або ресурси каталогу розділ, виберіть Іменовані ресурси каталогу даних і вкажіть наступне:
- для Бази данихвиберіть
company
. - для таблицівиберіть
employees
.
- для Бази данихвиберіть
- У Дозволи для таблиці розділ, для Дозволи для таблицівиберіть Select.
- У Дозволи на дані розділ, виберіть Доступ на основі стовпців.
- Select Включіть стовпці і оберіть
uid
,name
таdepartment
стовпчики. - Вибирати Грант.
Надайте дозвіл на таблицю продуктів для ролі sales-runtime-role
Виконайте такі дії:
- Відкрийте консоль Lake Formation за допомогою адміністратора озера даних Lake Formation в обліковому записі користувача даних.
- На панелі навігації виберіть Бази даних.
- Виберіть посилання на ресурс (
company-shared
) і на Дії меню, виберіть Цільовий грант. - У Розділ принципіввиберіть Користувачі та ролі IAM, Потім виберіть
sales-runtime-role
. - У LF-теги або ресурси каталогу розділ, виберіть Іменовані ресурси каталогу даних і вкажіть наступне:
- для Бази данихвиберіть
company
. - для таблицівиберіть
products
.
- для Бази данихвиберіть
- У Дозволи для таблиці розділ, для Дозволи для таблицівиберіть Select та Описувати.
- У Дозволи на дані розділ, виберіть Доступ до всіх даних.
- Вибирати Грант.
Увійдіть до EMR Studio та використовуйте робоче середовище EMR Studio
Змініть свою роль до alice-role
or bob-role
на консолі за допомогою різних веб-браузерів для перевірки доступу. Відкрийте EMRStudioLink
URL-адреса зі стеку CloudFormation для входу в EMR Studio з кожною роллю, а потім виконайте такі кроки:
- Вибирати Робочі області на панелі навігації та виберіть Створити робочу область.
- Введіть назву та опис для робочого простору.
- Вибирати Створити робочу область.
Нова вкладка, що містить JupyterLab, відкриється автоматично, коли робоча область буде готова. Увімкніть спливаючі вікна у вашому браузері, якщо необхідно.
- Вибрали обчислення на панелі навігації, щоб приєднати робочу область EMR Studio з обчислювальним механізмом.
- Select Кластер EMR на EC2 та цінності Тип обчислень.
- Виберіть ідентифікатор кластера EMR, який ви створили за допомогою AWS CloudFormation.
- для Роль часу виконаннявиберіть
sales-runtime-role
якщо ви ввійшли якalice-role
, Вибиратиhuman-resource-runtime-role
якщо ви ввійшли якbob-role
. - Вибирати Приєднувати.
Запустіть код у робочій області EMR Studio та перевірте доступ до даних
Запустіть наступний код у робочій області EMR Studio з ядром PySpark після входу за допомогою alice-role або bob-role:
Ви повинні побачити різні результати, використовуючи різні ролі.
Відповідно до нашої конфігурації доступу до даних у Lake Formation, Аліса матиме повний доступ до даних для products
стіл. Вона може переглядати всі стовпці, крім зарплати в employees
таблиці.
Щодо Боба, відповідно до нашої конфігурації доступу до даних у Lake Formation, він матиме повний доступ до даних employees
таблиці, але він не має доступу до products
таблиці.
Прибирати
Коли ви закінчите експериментувати з цим рішенням, очистіть свої ресурси:
- Зупиніть і видаліть робочі області EMR Studio, створені в обліковому записі споживача даних AWS.
- Видаліть весь вміст у відрі S3
EMRS3Bucket
в обліковому записі споживача даних AWS. - Видаліть стек CloudFormation в обліковому записі споживача даних AWS.
- Видаліть весь вміст у відрі S3
DataLakeS3Bucket
в обліковому записі виробника даних AWS. - Видаліть стек CloudFormation в обліковому записі виробника даних AWS.
Висновок
У цьому дописі показано, як можна використовувати ролі середовища виконання для підключення до робочого простору EMR Studio за допомогою Amazon EMR, щоб застосувати контроль доступу до даних між обліковими записами за допомогою Lake Formation. Ми також продемонстрували, як кілька користувачів EMR Studio можуть підключатися до одного кластера EMR, кожен з яких використовує роль середовища виконання з дозволами, що відповідають їх індивідуальному рівню доступу до даних.
Щоб дізнатися більше про використання робочих просторів EMR Studio з Lake Formation, див Запустіть EMR Studio Workspace із роллю середовища виконання. Ми радимо вам випробувати цю нову функцію та зв’язатися з нами, якщо у вас виникнуть запитання чи відгуки!
Про авторів
Ешлі Чжоу є інженером з розробки програмного забезпечення в AWS. Вона цікавиться аналітикою даних і розподіленими системами.
Шрівідья Партхасараті є старшим архітектором великих даних у команді AWS Lake Formation. Їй подобається створювати рішення для аналітики та сітки даних на AWS і ділитися ними з спільнотою.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://aws.amazon.com/blogs/big-data/use-iam-runtime-roles-with-amazon-emr-studio-workspaces-and-aws-lake-formation-for-cross-account-fine-grained-access-control/
- : має
- :є
- : ні
- $UP
- 100
- 107
- 11
- 20
- 7
- 8
- a
- Здатний
- МЕНЮ
- Прийняти
- доступ
- Доступ до даних
- доступний
- доступною
- За
- рахунки
- Рахунки
- через
- після
- Аліса
- ВСІ
- дозволяти
- дозволено
- дозволяє
- вже
- Також
- Amazon
- Amazon EC2
- Amazon EMR
- Amazon Web Services
- an
- аналіз
- аналітика
- та
- будь-який
- Apache
- Apache Spark
- додаток
- застосування
- Застосовувати
- архітектура
- ЕСТЬ
- AS
- At
- приєднувати
- авторизувати
- автоматично
- AWS
- AWS CloudFormation
- Клей AWS
- Формування озера AWS
- BE
- оскільки
- належить
- між
- Великий
- Великий даних
- боб
- обидва
- браузер
- браузери
- Створюємо
- але
- by
- CAN
- захоплення
- каталог
- Категорія
- CD
- сертифікати
- зміна
- перевірка
- вибір
- Вибирати
- очистити
- кластер
- код
- Колони
- співтовариство
- компанія
- Компанії
- повний
- завершення
- обчислення
- конфігурація
- З'єднуватися
- з'єднує
- Вважати
- складається
- Консоль
- споживач
- містить
- зміст
- контроль
- створювати
- створений
- створення
- Повноваження
- Поточний
- дані
- доступ до даних
- аналіз даних
- Analytics даних
- Озеро даних
- наука про дані
- вчений даних
- обмін даними
- Database
- базами даних
- дефолт
- визначати
- демонструвати
- продемонстрований
- відділ
- розгортання
- описувати
- description
- розвивати
- розробка
- Відмінності
- різний
- безпосередньо
- розподілений
- розподілені системи
- do
- Ні
- Не знаю
- вниз
- кожен
- Співробітник
- співробітників
- включіть
- дозволяє
- заохочувати
- шифрування
- примусове виконання
- двигун
- інженер
- Машинобудування
- Інженери
- Двигуни
- Що натомість? Створіть віртуальну версію себе у
- підприємств
- Навколишнє середовище
- Ефір (ETH)
- приклад
- Крім
- Пояснювати
- зовнішній
- філе
- Файли
- фільтрувати
- Перший
- після
- слідує
- для
- освіта
- від
- Повний
- повністю
- функціональність
- даний
- Go
- керує
- надавати
- надається
- Group
- було
- щасливий
- Мати
- he
- допомагає
- Як
- How To
- HTML
- HTTP
- HTTPS
- людина
- ЛЮДСЬКІ РЕСУРСИ
- Людськими ресурсами
- IAM
- ID
- Особистість
- if
- ілюструє
- реалізовані
- in
- includes
- У тому числі
- індивідуальний
- інформація
- Інфраструктура
- екземпляр
- інструкції
- інтегрований
- інтеграція
- зацікавлений
- вводити
- запрошення
- IT
- Джобс
- JPG
- етикетка
- озеро
- озера
- великий
- Великі підприємства
- запуск
- УЧИТЬСЯ
- рівень
- МЕЖА
- LINK
- зв'язку
- місцевий
- розташування
- місць
- машина
- зробити
- РОБОТИ
- управляти
- вдалося
- управління
- управляє
- багато
- узгодження
- механізм
- Меню
- сітці
- може бути
- більше
- рухатися
- множинний
- повинен
- ім'я
- Названий
- Переміщення
- навігація
- необхідно
- Необхідність
- необхідний
- Нові
- наступний
- немає
- ноутбук
- ноутбуки
- зараз
- об'єкт
- of
- часто
- on
- тільки
- відкрити
- оперативний
- or
- Інше
- наші
- з
- вихід
- власник
- pane
- шлях
- в очікуванні
- дозвіл
- Дозволи
- plato
- Інформація про дані Платона
- PlatoData
- Політика
- пошта
- влада
- передумови
- попередній
- Головний
- керівників
- принцип
- Принципи
- виробник
- Product
- Продукти
- профіль
- Профілі
- забезпечувати
- за умови
- забезпечує
- мета
- Python
- запити
- питань
- R
- Оперативна пам'ять
- Сировина
- необроблені дані
- готовий
- зменшити
- послатися
- регіон
- реєструвати
- зареєстрований
- реєструючий
- звільнити
- запросити
- ресурс
- ресурси
- результат
- результати
- Роль
- ролі
- прогін
- біг
- заробітна плата
- продажів
- то ж
- масштаб
- наука
- вчений
- Вчені
- сценарій
- розділ
- розділам
- побачити
- обраний
- старший
- окремий
- сервер
- Послуги
- Сесія
- комплект
- установка
- налаштування
- установка
- Поділитись
- загальні
- акції
- поділ
- вона
- Повинен
- показав
- підпис
- підписаний
- підписання
- простий
- один
- Софтвер
- розробка програмного забезпечення
- проданий
- рішення
- Рішення
- Джерела
- Іскритися
- стек
- Крок
- заходи
- зберігання
- зберігати
- зберігати
- магазинів
- просто
- студія
- представлений
- такі
- поставка
- Опори
- Systems
- таблиця
- TAG
- команда
- шаблон
- тимчасовий
- тест
- Що
- Команда
- їх
- Їх
- потім
- отже
- це
- ті
- через
- Терміни
- до
- інструменти
- транзит
- намагатися
- два
- тип
- типово
- ui
- при
- що лежить в основі
- Завантаження
- URL
- us
- використання
- використовуваний
- користувач
- користувачі
- використовує
- використання
- значення
- перевірити
- версія
- через
- вид
- візуалізувати
- ходити
- we
- Web
- Веб-браузери
- веб-сервіси
- були
- коли
- який
- всі
- волі
- з
- в
- робочий
- б
- запис
- письмовий
- ямл
- ви
- вашу
- зефірнет
- Zip