Nhiều khách hàng đang hiện đại hóa kiến ​​trúc dữ liệu của họ bằng cách sử dụng Amazon Redshift để cho phép truy cập vào tất cả dữ liệu của họ từ một vị trí dữ liệu trung tâm. Họ đang tìm kiếm một cách đơn giản hơn, có thể mở rộng và tập trung để xác định và thực thi các chính sách truy cập trên các hồ dữ liệu của họ trên Dịch vụ lưu trữ đơn giản của Amazon (Amazon S3). Họ muốn các chính sách truy cập để cho phép người tiêu dùng trong hồ dữ liệu của họ sử dụng dịch vụ phân tích mà họ lựa chọn, để phù hợp nhất với các hoạt động họ muốn thực hiện trên dữ liệu. Mặc dù phương pháp hiện có sử dụng chính sách nhóm Amazon S3 để quản lý kiểm soát quyền truy cập là một tùy chọn, nhưng khi số lượng kết hợp các cấp độ truy cập và người dùng tăng lên, việc quản lý các chính sách cấp độ nhóm có thể không mở rộng quy mô.

Sự hình thành hồ AWS cho phép bạn đơn giản hóa và quản lý tập trung quyền truy cập. Nó cho phép các tổ chức quản lý kiểm soát truy cập cho các hồ dữ liệu dựa trên Amazon S3 bằng cách sử dụng các khái niệm quen thuộc về cơ sở dữ liệu, bảng và cột (với nhiều hơn nữa tùy chọn nâng cao như bảo mật cấp độ hàng và ô). Lake Formation sử dụng Keo AWS Danh mục dữ liệu để cung cấp quyền kiểm soát truy cập cho hồ dữ liệu Amazon S3 với các dịch vụ phân tích AWS thường được sử dụng nhất, như Amazon RedShift (Qua Quang phổ dịch chuyển đỏ Amazon), amazon Athena, AWS Glue ETL, và Amazon EMR (đối với máy tính xách tay dựa trên Spark). Các dịch vụ này tôn trọng mô hình quyền của Lake Formation, giúp khách hàng dễ dàng đơn giản hóa, chuẩn hóa và mở rộng quy mô quản lý bảo mật dữ liệu cho các hồ dữ liệu.

Với Amazon Redshift, bạn có thể xây dựng một kiến ​​trúc dữ liệu hiện đại, để mở rộng liền mạch kho dữ liệu của bạn vào hồ dữ liệu và đọc tất cả dữ liệu - dữ liệu trong kho dữ liệu và dữ liệu trong hồ dữ liệu của bạn - mà không cần tạo nhiều bản sao dữ liệu. Tính năng Amazon Redshift Spectrum cho phép truy vấn trực tiếp hồ dữ liệu S3 của bạn và nhiều khách hàng đang tận dụng tính năng này để hiện đại hóa nền tảng dữ liệu của họ. Bạn có thể sử dụng bộ nhớ được quản lý của Amazon Redshift cho dữ liệu được truy cập thường xuyên và di chuyển dữ liệu được truy cập ít thường xuyên hơn sang hồ dữ liệu Amazon S3 và truy cập nó một cách an toàn bằng Redshift Spectrum.

Trong bài đăng này, chúng tôi thảo luận về cách bạn có thể sử dụng AWS Lake Formation để tập trung quản trị dữ liệu và quản lý truy cập dữ liệu trong khi sử dụng Amazon Redshift Spectrum để truy vấn hồ dữ liệu của bạn. Lake Formation cho phép bạn cấp và thu hồi quyền đối với cơ sở dữ liệu, bảng và các đối tượng danh mục cột được tạo trên hồ dữ liệu Amazon S3. Điều này dễ dàng hơn cho khách hàng, vì nó tương tự như việc quản lý quyền trên cơ sở dữ liệu quan hệ.

Trong bài đăng đầu tiên của loạt bài gồm hai phần này, chúng tôi tập trung vào các tài nguyên trong cùng một tài khoản AWS. Trong bài đăng thứ hai, chúng tôi mở rộng giải pháp trên các tài khoản AWS bằng cách sử dụng Lake Formation tính năng chia sẻ dữ liệu.

Tổng quan về giải pháp

Sơ đồ sau minh họa kiến ​​trúc giải pháp của chúng tôi.

Quy trình giải pháp bao gồm các bước sau:

1. Dữ liệu được lưu trữ trong hồ dữ liệu Amazon S3 được thu thập thông tin bằng trình thu thập dữ liệu AWS Glue.
2. Trình thu thập thông tin cung cấp siêu dữ liệu của dữ liệu trên Amazon S3 và lưu trữ nó dưới dạng cơ sở dữ liệu và bảng trong Danh mục dữ liệu AWS Glue.
3. Bạn đăng ký nhóm Amazon S3 làm vị trí hồ dữ liệu với Lake Formation. Nó được tích hợp nguyên bản với Danh mục dữ liệu.
4. Bạn sử dụng Lake Formation để cấp quyền ở cấp độ cơ sở dữ liệu, bảng và cột được xác định Quản lý truy cập và nhận dạng AWS (IAM) vai trò.
5. Bạn tạo các lược đồ bên ngoài trong Amazon Redshift để quản lý quyền truy cập cho các nhóm tiếp thị và tài chính.
6. Bạn cung cấp quyền truy cập cho các nhóm tiếp thị và tài chính vào các lược đồ bên ngoài tương ứng của họ và liên kết các vai trò IAM thích hợp sẽ được đảm nhận. Vai trò quản trị viên và nhóm quản trị viên bị giới hạn cho công việc quản trị.
7. Người dùng tiếp thị và tài chính giờ đây có thể đảm nhận vai trò IAM tương ứng của họ và truy vấn dữ liệu bằng cách sử dụng trình chỉnh sửa truy vấn SQL cho các lược đồ bên ngoài của họ bên trong Amazon Redshift.

Cài đặt bảo mật mặc định của Lake Formation

Để duy trì khả năng tương thích ngược với AWS Glue, Lake Formation có các cài đặt bảo mật ban đầu sau:

• Cấp quyền siêu cấp cho nhóm IAMAllowedPrincipals trên tất cả các tài nguyên Danh mục dữ liệu hiện có.
• Cài đặt để chỉ sử dụng kiểm soát truy cập IAM được bật cho các tài nguyên Danh mục dữ liệu mới.

Để thay đổi cài đặt bảo mật, hãy xem Thay đổi cài đặt bảo mật mặc định cho Data Lake của bạn.

Lưu ý: Giữ nguyên các cài đặt mặc định cho đến khi bạn sẵn sàng chuyển hoàn toàn sang mô hình quyền của Lake Formation. Bạn có thể cập nhật cài đặt ở cấp cơ sở dữ liệu nếu bạn muốn các quyền do Lake Formation đặt có hiệu lực. Để biết thêm chi tiết về các nâng cấp, hãy tham khảo Nâng cấp quyền dữ liệu keo AWS lên Mô hình hình thành hồ AWS.

Chúng tôi khuyên bạn không nên hoàn nguyên từ mô hình quyền của Lake Formation về mô hình quyền chỉ IAM. Bạn cũng có thể muốn triển khai giải pháp trước trong một tài khoản thử nghiệm mới.

Điều kiện tiên quyết

Để thiết lập giải pháp này, bạn cần làm quen cơ bản với Bảng điều khiển quản lý AWS, An Tài khoản AWSvà truy cập vào các dịch vụ AWS sau:

Tạo quản trị viên hồ dữ liệu

Quản trị viên hồ dữ liệu ban đầu là người dùng hoặc vai trò IAM duy nhất có thể cấp quyền cho Hồ sơ hình thành đối với vị trí dữ liệu và tài nguyên Danh mục dữ liệu cho bất kỳ chủ sở hữu nào.

Để thiết lập người dùng IAM làm quản trị viên hồ dữ liệu, hãy thêm chính sách nội tuyến được cung cấp cho người dùng IAM hoặc vai trò IAM mà bạn sử dụng để cung cấp tài nguyên cho giải pháp blog này. Để biết thêm chi tiết, hãy tham khảo Tạo quản trị viên Data Lake.

1. Trên bảng điều khiển IAM, chọn Người dùngvà chọn người dùng IAM mà bạn muốn chỉ định làm quản trị viên hồ dữ liệu.
2. Chọn Thêm chính sách nội tuyến trên Quyền và thêm chính sách sau:

   { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "lakeformation:GetDataLakeSettings", "lakeformation:PutDataLakeSettings" ], "Resource": "*" } ]
   }

3. Cung cấp tên chính sách.
4. Xem lại và lưu cài đặt của bạn.

Lưu ý: Nếu bạn đang sử dụng người dùng / vai trò quản trị viên hiện có, bạn có thể đã cấp phép điều này.

5. Đăng nhập vào bảng điều khiển quản lý AWS với tư cách là người dùng IAM hoặc vai trò quản trị viên hồ dữ liệu được chỉ định cho giải pháp này.

Lưu ý: Mẫu CloudFormation không hoạt động nếu bạn bỏ qua bước dưới đây.

6. Nếu đây là lần đầu tiên bạn sử dụng bảng điều khiển Lake Formation, hãy chọn Thêm bản thân tôi Và chọn Bắt đầu.
   

Bạn cũng có thể thêm mình làm quản trị viên hồ dữ liệu bằng cách truy cập Vai trò và nhiệm vụ quản trị Dưới Quyền, lựa chọn Chọn quản trị viênvà tự thêm mình với tư cách là quản trị viên nếu bạn bỏ lỡ điều này trong màn hình chào mừng ban đầu.

Cung cấp tài nguyên với CloudFormation

Trong bước này, chúng tôi tạo các tài nguyên giải pháp bằng cách sử dụng Mẫu CloudFormation. Mẫu thực hiện các hành động sau:

• Tạo bộ chứa S3 để sao chép các tệp dữ liệu mẫu và tập lệnh SQL
• Đăng ký vị trí hồ dữ liệu S3 với Lake Formation
• Tạo ra các vai trò và chính sách IAM khi cần thiết cho môi trường
• Chỉ định hiệu trưởng (vai trò IAM) để xử lý cài đặt hồ dữ liệu
• Tạo tài nguyên Lambda và Step Functions để tải dữ liệu cần thiết
• Chạy các công việc trình thu thập thông tin AWS Glue để tạo bảng Danh mục dữ liệu
• Định cấu hình quyền của Lake Formation
• Tạo một cụm Amazon Redshift
• Chạy tập lệnh SQL để tạo nhóm cơ sở dữ liệu, người dùng cơ sở dữ liệu và các lược đồ bên ngoài cho các nhóm quản trị, tiếp thị và tài chính

Để tạo tài nguyên của bạn, hãy hoàn thành các bước sau:

1. Khởi chạy mẫu được cung cấp trong Vùng AWS us-east-1.
2. Chọn Sau.
   
3. Trong Tên ngăn xếp, bạn có thể giữ tên ngăn xếp mặc định hoặc thay đổi nó.
4. Trong DbMật khẩu, cung cấp mật khẩu an toàn thay vì sử dụng mật khẩu được cung cấp mặc định.
5. Trong Lưu lượng truy cập trong nước, thay đổi dải địa chỉ IP thành địa chỉ IP của máy cục bộ của bạn ở định dạng CIDR thay vì sử dụng mặc định.
6. Chọn Sau.
   
7. Chọn Sau một lần nữa cho đến khi bạn đến trang đánh giá.
8. Chọn Tôi xác nhận rằng AWS CloudFormation có thể tạo tài nguyên IAM với tên tùy chỉnh.
9. Chọn Tạo ngăn xếp.
   

Ngăn xếp mất khoảng 10 phút để triển khai thành công. Khi quá trình hoàn tất, bạn có thể xem kết quả đầu ra trên bảng điều khiển AWS CloudFormation.

Cập nhật cài đặt mặc định của Lake Formation

Bạn cũng cần cập nhật các cài đặt mặc định ở cấp cơ sở dữ liệu của Hồ Formation. Điều này đảm bảo rằng các quyền của Lake Formation mà mẫu CloudFormation thiết lập trong quá trình cấp phép có thể có hiệu lực so với cài đặt mặc định.

1. Trên bảng điều khiển Lake Formation, dưới Danh mục dữ liệu trong ngăn điều hướng, chọn Cơ sở dữ liệu.
2. Chọn cơ sở dữ liệu bạn đã tạo bằng mẫu CloudFormation.
   
3. Chọn Chỉnh sửa.
4. Bỏ chọn Chỉ sử dụng điều khiển truy cập IAM cho các bảng mới trong cơ sở dữ liệu.
5. Chọn Lưu.
   

Hành động này rất quan trọng vì nó loại bỏ mô hình điều khiển IAM khỏi cơ sở dữ liệu này và chỉ cho phép Lake Formation cấp quyền bảo mật / thu hồi quyền truy cập vào nó. Bước này đảm bảo các bước khác trong giải pháp này thành công.

6. Chọn Cơ sở dữ liệu trong khung điều hướng.
7. Chọn cùng một cơ sở dữ liệu.
8. trên Hoạt động menu, chọn Xem quyền.
   

Bạn có thể xem lại các quyền được kích hoạt cho cơ sở dữ liệu này.

9. Chọn hình ba gạch IAMAllowedPrincipals nhóm và chọn Thu hồi để loại bỏ cài đặt quyền mặc định cho cơ sở dữ liệu riêng lẻ này.
   

Sản phẩm IAMAllowedPrincipal hàng không còn xuất hiện trong danh sách trên Quyền .

Tương tự, chúng ta cần xóa IAMAllowedPrincipal nhóm ở cấp độ bảng. Mẫu CloudFormation đã tạo sáu bảng cho cơ sở dữ liệu này. Hãy xem cách sử dụng quyền của data lake để xóa quyền truy cập ở cấp bảng.

10. Trên bảng điều khiển Lake Formation, hãy chọn Quyền của hồ dữ liệu trong khung điều hướng.
11. Lọc bởi Principal:IAMAllowedPrincipals và Database:<<database name>>.

Bạn có thể xem lại tất cả các bảng mà chúng tôi cần để cập nhật quyền.

12. Chọn từng bảng một và chọn Thu hồi.
    

Với các bước này, chúng tôi đã đảm bảo rằng cài đặt mặc định ở cấp tài khoản Lake Formation vẫn được áp dụng và chỉ được cập nhật theo cách thủ công cho cơ sở dữ liệu và bảng mà chúng tôi sẽ làm việc trong bài đăng này. Khi bạn đã sẵn sàng chuyển hoàn toàn sang mô hình quyền của Lake Formation, bạn có thể cập nhật cài đặt ở cấp tài khoản thay vì cập nhật riêng lẻ chúng. Để biết thêm chi tiết, hãy xem Thay đổi mô hình quyền mặc định.

Xác thực các tài nguyên được cung cấp

Mẫu CloudFormation cung cấp nhiều tài nguyên tự động để tạo môi trường của bạn. Trong phần này, chúng tôi kiểm tra một số tài nguyên chính để hiểu rõ hơn về chúng.

Tài nguyên hình thành hồ

Trên bảng điều khiển Lake Formation, hãy kiểm tra xem vị trí hồ dữ liệu mới đã được đăng ký với vai trò IAM trên Vị trí hồ dữ liệu .

Đây là vai trò IAM mà bất kỳ dịch vụ tích hợp nào như Amazon Redshift đảm nhận để truy cập dữ liệu trên vị trí Amazon S3 đã đăng ký. Sự tích hợp này diễn ra ngoài khả năng khi các vai trò và chính sách phù hợp được áp dụng. Để biết thêm chi tiết, hãy xem Yêu cầu đối với vai trò được sử dụng để đăng ký vị trí.

Kiểm tra Vai trò và nhiệm vụ quản trị xác nhận rằng người dùng đã đăng nhập được thêm vào làm quản trị viên hồ dữ liệu và IAMAllowedPrincipals được thêm làm người tạo cơ sở dữ liệu.

Sau đó, kiểm tra các bảng mà trình thu thập AWS Glue đã tạo trong cơ sở dữ liệu Danh mục dữ liệu. Các bảng này là các thực thể logic, vì dữ liệu nằm ở vị trí Amazon S3. Sau khi tạo các đối tượng này, bạn có thể truy cập chúng qua các dịch vụ khác nhau.

Cuối cùng, hãy kiểm tra các quyền do mẫu thiết lập bằng cách sử dụng mô hình quyền của Lake Formation trên các bảng mà người dùng tài chính và tiếp thị từ Amazon Redshift truy cập.

Ảnh chụp màn hình sau đây cho thấy vai trò tài chính có quyền truy cập vào tất cả các cột cho store và item bảng, nhưng chỉ các cột được liệt kê cho store_sales bảng.

Tương tự, bạn có thể xem xét quyền truy cập cho vai trò tiếp thị, có quyền truy cập vào tất cả các cột trong customer_activity và store_sales bảng.

Tài nguyên Amazon S3

Mẫu CloudFormation tạo hai nhóm S3:

• hồ dữ liệu - Chứa dữ liệu được sử dụng cho bài đăng này
• kịch bản - Chứa SQL mà chúng tôi sử dụng để tạo các đối tượng cơ sở dữ liệu Amazon Redshift

Mở script xô để xem các tập lệnh. Bạn có thể tải xuống và mở chúng để xem mã SQL được sử dụng.

Sản phẩm setup_lakeformation_demo.sql script cung cấp cho bạn mã SQL để tạo lược đồ cơ sở dữ liệu bên ngoài và gán các vai trò khác nhau cho các mục đích quản trị dữ liệu. Lược đồ bên ngoài dành cho các đối tượng dựa trên Danh mục dữ liệu AWS Glue trỏ đến dữ liệu trong hồ dữ liệu. Sau đó, chúng tôi cấp quyền truy cập cho các nhóm cơ sở dữ liệu và người dùng khác nhau để quản lý bảo mật cho người dùng tài chính và tiếp thị.

Các tập lệnh chạy theo thứ tự sau:

1. sp_create_db_group.sql
2. sp_create_db_user.sql
3. setup_lakeformation_demo.sql

Tài nguyên của Amazon Redshift

Trên bảng điều khiển Amazon Redshift, hãy chọn Cụm trong ngăn điều hướng và chọn cụm bạn đã tạo bằng mẫu CloudFormation. Sau đó chọn Bất động sản tab.

Sản phẩm Quyền của cụm phần liệt kê ba vai trò đính kèm. Mẫu sử dụng vai trò quản trị viên để cung cấp các đối tượng cấp cơ sở dữ liệu Amazon Redshift. Vai trò tài chính được gắn với lược đồ tài chính trong Amazon Redshift và vai trò tiếp thị được gắn với lược đồ tiếp thị.

Mỗi vai trò này được cấp quyền theo cách mà chúng có thể sử dụng trình chỉnh sửa truy vấn Amazon Redshift để truy vấn các bảng Danh mục dữ liệu bằng Redshift Spectrum. Để biết thêm chi tiết, hãy xem Sử dụng Redshift Spectrum với AWS Lake Formation và Truy vấn dữ liệu trong Data Lake bằng Amazon Redshift Spectrum.

Truy vấn dữ liệu

Chúng tôi sử dụng Trình chỉnh sửa truy vấn Amazon Redshift v2 để truy vấn lược đồ bên ngoài và các bảng Danh mục dữ liệu (bảng bên ngoài). Lược đồ bên ngoài đã được tạo như một phần của mẫu CloudFormation. Khi lược đồ bên ngoài được tạo bằng Danh mục dữ liệu, các bảng trong cơ sở dữ liệu được tạo tự động và có sẵn thông qua Amazon Redshift dưới dạng bảng bên ngoài.

1. Trên bảng điều khiển Amazon Redshift, hãy chọn Trình chỉnh sửa truy vấn v2.
2. Chọn Định cấu hình tài khoản.
3. Chọn cụm cơ sở dữ liệu.
4. Trong Cơ sở dữ liệu, đi vào dev.
5. Trong Tên người dùng, đi vào awsuser.
6. Trong Xác thực, lựa chọn Thông tin đăng nhập tạm thời.
7. Chọn Tạo kết nối.

Khi bạn đã kết nối và đăng nhập với tư cách người dùng quản trị viên, bạn có thể thấy cả lược đồ và bảng cục bộ và bên ngoài, như được hiển thị trong ảnh chụp màn hình sau.

Xác thực quyền hình thành Hồ dựa trên vai trò trong Amazon Redshift

Tiếp theo, chúng tôi xác thực cách cài đặt bảo mật của Lake Formation hoạt động cho người dùng tiếp thị và tài chính.

1. Trong trình soạn thảo truy vấn, hãy chọn (bấm chuột phải) vào kết nối cơ sở dữ liệu.
2. Chọn Chỉnh sửa kết nối.
   
3. Trong Tên người dùng, đi vào marketing_ro.
4. Chọn Chỉnh sửa kết nối.
   
5. Sau khi kết nối với tư cách maketing_ro, chọn cơ sở dữ liệu nhà phát triển trong cụm và điều hướng đến customer_activity bảng.
6. Chọn biểu tượng làm mới.
   
7. Lặp lại các bước này để chỉnh sửa kết nối và cập nhật người dùng lên finance_ro.
   
8. Hãy thử lại để làm mới dev cơ sở dữ liệu.

Như mong đợi, người dùng này chỉ có quyền truy cập vào lược đồ và bảng được phép.

Với giải pháp này, bạn có thể tách biệt những người dùng khác nhau ở cấp giản đồ và sử dụng Lake Formation để đảm bảo rằng họ chỉ có thể xem các bảng và cột mà vai trò của họ cho phép.

Bảo mật cấp cột với các quyền của Lake Formation

Lake Formation cũng cho phép bạn đặt cột nào mà hiệu trưởng có thể hoặc không thể nhìn thấy trong bảng. Ví dụ: khi bạn chọn store_sales như marketing_ro người dùng, bạn thấy nhiều cột, như customer_purchase_estimate. Tuy nhiên, như finance_ro người dùng, bạn không thấy các cột này.

Kiểm soát truy cập thủ công thông qua bảng điều khiển Lake Formation

Trong bài đăng này, chúng tôi đã làm việc với mẫu CloudFormation
môi trường dựa trên, đây là một cách tự động để tạo các mẫu môi trường và đơn giản hóa các hoạt động.

Trong phần này, chúng tôi chỉ ra cách bạn có thể thiết lập tất cả các cấu hình thông qua bảng điều khiển và chúng tôi sử dụng một bảng khác làm ví dụ để hướng dẫn bạn qua các bước.

Như đã trình bày trong các bước trước, người dùng tiếp thị trong môi trường này có tất cả quyền truy cập cột vào các bảng customer_activity và store_sales trong lược đồ bên ngoài retail_datalake_marketing. Chúng tôi thay đổi một số điều đó theo cách thủ công để xem nó hoạt động như thế nào khi sử dụng bảng điều khiển.

1. Trên bảng điều khiển Lake Formation, hãy chọn Quyền của hồ dữ liệu.
2. Lọc theo hiệu trưởng RedshiftMarketingRole.
3. Chọn hiệu trưởng cho store_sales bàn và chọn Thu hồi.
   
4. Xác nhận bằng cách chọn Thu hồi một lần nữa.
   

Một thông báo thành công xuất hiện và hàng quyền không còn được liệt kê nữa.

5. Chọn Cấp để định cấu hình cấp độ quyền mới cho người dùng tiếp thị trên store_sales bảng ở cấp độ cột.
   
6. Chọn Người dùng IAM và vai trò và chọn vai trò của bạn.
7. Trong tạp chí Thẻ LF hoặc tài nguyên danh mục phần, chọn Tài nguyên danh mục dữ liệu được đặt tên.
8. Trong Cơ sở dữ liệu, chọn cơ sở dữ liệu của bạn.
9. Trong Bàn, chọn store_sales bảng.
   
10. Trong Quyền bảngkiểm tra Chọn.
11. Trong tạp chí Quyền dữ liệu phần, chọn Quyền truy cập dựa trên cột đơn giản.
12. Chọn Loại trừ các cột.
13. Chọn các cột như được hiển thị trong ảnh chụp màn hình sau.
14. Chọn Cấp.
    

Bây giờ chúng tôi truy vấn lại bảng từ Amazon Redshift để xác nhận rằng các thay đổi hiệu quả khớp với các điều khiển được đặt bởi Lake Formation. Trong truy vấn sau, chúng tôi chọn một cột không được phép:

/* Selecting columns not authorized will result in error. */
select s_country, ss_net_profit from retail_datalake_marketing.store_sales;

Như mong đợi, chúng tôi nhận được một lỗi.

Làm sạch

Dọn dẹp tài nguyên được tạo bởi mẫu CloudFormation để tránh chi phí không cần thiết cho tài khoản AWS của bạn. Bạn có thể xóa ngăn xếp CloudFormation bằng cách chọn ngăn xếp trên bảng điều khiển AWS CloudFormation và chọn Xóa bỏ. Hành động này sẽ xóa tất cả các tài nguyên mà nó đã cấp phép. Nếu bạn đã cập nhật thủ công tài nguyên do mẫu cung cấp, bạn có thể gặp một số vấn đề trong quá trình dọn dẹp và bạn cần phải dọn dẹp chúng theo cách thủ công.

Tổng kết

Trong bài đăng này, chúng tôi đã chỉ ra cách bạn có thể tích hợp Lake Formation với Amazon Redshift để kiểm soát liên tục quyền truy cập vào hồ dữ liệu Amazon S3. Chúng tôi cũng đã trình bày cách truy vấn hồ dữ liệu của bạn bằng cách sử dụng Redshift Spectrum và các bảng bên ngoài. Đây là một cơ chế mạnh mẽ giúp bạn xây dựng một kiến ​​trúc dữ liệu hiện đại để dễ dàng truy vấn dữ liệu trên hồ dữ liệu và các kho dữ liệu của bạn với nhau. Chúng tôi cũng đã thấy cách bạn có thể sử dụng các mẫu CloudFormation để tự động hóa việc tạo tài nguyên với cơ sở hạ tầng dưới dạng mã. Bạn có thể sử dụng điều này để đơn giản hóa hoạt động của mình, đặc biệt khi bạn muốn sao chép thiết lập tài nguyên từ phát triển sang cảnh quan sản xuất trong các chu kỳ dự án của mình.

Cuối cùng, chúng tôi đã đề cập đến cách quản trị viên hồ dữ liệu có thể kiểm soát thủ công tìm kiếm trên các đối tượng danh mục dữ liệu và cấp hoặc thu hồi quyền truy cập ở cấp cơ sở dữ liệu, bảng và cột. Chúng tôi khuyến khích bạn thử các bước mà chúng tôi đã nêu trong bài đăng này và sử dụng mẫu CloudFormation để thiết lập bảo mật trong Lake Formation nhằm kiểm soát quyền truy cập hồ dữ liệu từ Redshift Spectrum.

Trong bài đăng thứ hai của loạt bài này, chúng tôi tập trung vào cách bạn có thể nắm bắt khái niệm này và áp dụng nó trên các tài khoản bằng cách sử dụng tính năng chia sẻ dữ liệu của Lake Formation trong địa hình dạng hub-and-chấu.

Về các tác giả

Vaibhav Agrawal là Kiến trúc sư giải pháp chuyên gia phân tích tại AWS. Trong suốt sự nghiệp của mình, anh ấy đã tập trung vào việc giúp khách hàng thiết kế và xây dựng các nền tảng hỗ trợ ra quyết định và phân tích được kiến ​​trúc tốt.

Jason Pedreza là Kiến trúc sư Giải pháp Chuyên gia về Phân tích tại AWS với hơn 13 năm kinh nghiệm lưu trữ dữ liệu. Trước AWS, anh đã xây dựng các giải pháp kho dữ liệu tại Amazon.com. Anh ấy chuyên về Amazon Redshift và giúp khách hàng xây dựng các giải pháp phân tích có thể mở rộng.

Rajesh Francis là Chuyên gia phân tích cao cấp về trải nghiệm khách hàng tại AWS. Anh ấy chuyên về Amazon Redshift và tập trung vào việc giúp thúc đẩy thị trường AWS và chiến lược kỹ thuật cho các dịch vụ phân tích và lưu trữ dữ liệu. Rajesh hợp tác chặt chẽ với các khách hàng chiến lược lớn để giúp họ áp dụng các dịch vụ và tính năng mới của chúng tôi, phát triển quan hệ đối tác lâu dài và cung cấp các yêu cầu của khách hàng trở lại nhóm phát triển sản phẩm của chúng tôi để hướng dẫn lộ trình sản phẩm của chúng tôi.

Nguồn: https://aws.amazon.com/blogs/big-data/centralized-governance-for-your-data-lake-using-aws-lake-formation-ready-enabling-a-modern-data-architecture- với-amazon-redshift-phổ /