Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo aprenderá a crear un acceso directo de Amazon S3 dentro de un almacén de lago de Fabric. Al crear accesos directos a cuentas de Amazon S3, la ruta de acceso de destino debe contener al menos un nombre de bucket. S3 no admite de forma nativa espacios de nombres jerárquicos, pero puede usar prefijos para imitar una estructura de directorios. Puede incluir prefijos en la ruta de acceso directo para restringir aún más el ámbito de los datos accesibles a través del acceso directo. Cuando se accede a los datos a través de un acceso directo de S3, los prefijos se representan como carpetas.
Los métodos abreviados de S3 son de solo lectura. No admiten operaciones de escritura independientemente de los permisos del usuario.
Para obtener información general sobre los accesos directos, consulte Accesos directos de OneLake. Para crear combinaciones de teclas mediante programación, consulte API de REST para combinaciones de teclas de OneLake.
Los accesos directos de S3 pueden aprovechar el almacenamiento en caché de archivos para reducir los costes de salida asociados con el acceso a datos entre nubes. Para más información, consulte Accesos directos de OneLake> Almacenamiento en Caché.
Requisitos previos
Si no tiene un lakehouse, cree uno siguiendo estos pasos: Crear un lakehouse con OneLake.
Asegúrese de que el bucket S3 elegido y el usuario de IAM cumplen los requisitos de acceso y autorización para los accesos directos S3.
Crear un acceso directo
Abra un lago de datos.
Haga clic con el botón derecho del ratón en el directorio Tablas dentro de lakehouse.
Seleccionar Nuevo acceso directo.
En Orígenes externos, seleccione Amazon S3.
Escriba la configuración de conexión según la tabla siguiente:
Campo Descripción Value URL Cadena de conexión para el bucket de Amazon S3. https://BucketName.s3.RegionCode.amazonaws.comConnection Las conexiones definidas previamente para la ubicación de almacenamiento especificada aparecen en la lista desplegable. Si no existe ninguna conexión, crea una nueva. Crear una nueva conexión Nombre de la conexión Nombre de conexión de Amazon S3. Un nombre para tu conexión. Tipo de autenticación La política de Administración de identidad y acceso (IAM). La directiva debe tener permisos de lectura y lista. Para más información, consulte Usuarios de IAM. Depende de la directiva de cubo. Id. de clave de acceso La clave de usuario de Administración de identidad y acceso (IAM). Para más información, consulte Administrar claves de acceso para usuarios de IAM. La clave de acceso. Clave de acceso secreta La clave secreta de Administración de identidad y acceso (IAM). Tu clave secreta. Seleccione Siguiente.
Vaya a la ubicación de destino del acceso directo.
Si usaste el punto de conexión global en la dirección URL de conexión, todos los buckets disponibles aparecerán en la vista de navegación izquierda. Si usaste un punto de conexión específico del bucket en la dirección URL de conexión, aparecerán en la vista de navegación únicamente el bucket especificado y su contenido.
Seleccione una carpeta o haga clic en la flecha de expansión junto a una carpeta para navegar por la cuenta de almacenamiento.
En esta vista, puede seleccionar una o varias ubicaciones de destino de acceso directo. Para elegir ubicaciones de destino, haz clic en la casilla situada junto a una carpeta en la vista de navegación izquierda.
Seleccione Siguiente.
La página de revisión te permite comprobar todas las selecciones. Aquí puedes ver todos los accesos directos que se crearán. En la columna de acción, puedes hacer clic en el icono de lápiz para editar el nombre del acceso directo. Puede hacer clic en el icono de papelera para eliminar acceso directo.
Seleccione Crear. El lakehouse se actualiza automáticamente. El acceso directo aparece en el panel izquierdo del Explorador situado en la sección Tablas.
Acceso
Los accesos directos de S3 deben apuntar al punto de conexión https del cubo de S3.
Ejemplo: https://bucketname.s3.region.amazonaws.com/
Nota:
No es necesario deshabilitar la configuración de bloqueo de acceso público de S3 para tu cuenta de S3 para que el acceso directo de S3 funcione.
Un firewall de almacenamiento o una nube privada virtual no deben bloquear el acceso al punto de conexión S3, a menos que configure una puerta de enlace de datos local. Para configurar una puerta de enlace de datos, consulte Creación de accesos directos a datos locales.
Authorization
Los accesos directos de S3 usan un modelo de autorización delegado. En este modelo, el creador del acceso directo especifica una credencial para el acceso directo de S3 y todo el acceso a ese acceso directo se autoriza con esa credencial. La credencial delegada admitida es una clave y un secreto de un usuario de IAM.
El usuario de IAM debe tener los permisos siguientes en el cubo al que apunta el acceso directo:
S3:GetObjectS3:GetBucketLocationS3:ListBucket
Los accesos directos de S3 admiten cubos de S3 que usan claves de cubo de S3 para el cifrado SSE-KMS. Para acceder a datos cifrados con SSE-KMS, el usuario debe tener permisos de cifrado y descifrado para la clave de cubo; de lo contrario, recibirá un error de "Prohibido" (403). Para obtener más información, vea cómo configurar su bucket para utilizar una clave de bucket S3 con SSE-KMS para nuevos objetos.
Limitaciones
Las limitaciones siguientes se aplican a los accesos directos de S3:
- Los métodos abreviados de S3 son de solo lectura. No admiten operaciones de escritura independientemente de los permisos del usuario.
- Las rutas de acceso directo S3 no pueden contener caracteres reservados de la sección 2.2 de RFC 3986. Para ver los caracteres permitidos, consulte la sección 2.3 de RFC 3968.
- Los accesos directos de S3 no admiten la API de copiado de blobs.
- No se pueden crear más accesos directos dentro de los métodos abreviados S3.