Voraussetzungen - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen

Bevor Ihr AWS Konto Data-Catalog-Ressourcen (Datenbanken und Tabellen) für ein anderes Konto oder für Prinzipale in einem anderen Konto freigeben kann und Sie auf die für Ihr Konto freigegebenen Ressourcen zugreifen können, müssen die folgenden Voraussetzungen erfüllt sein.

Allgemeine Anforderungen an die kontoübergreifende Datenfreigabe

  • Um Data-Catalog-Datenbanken und -Tabellen im Hybridzugriffsmodus freizugeben, müssen Sie die Einstellungen für die kontoübergreifende Version auf Version 4 aktualisieren.

  • Bevor Sie kontoübergreifende Berechtigungen für eine Data-Catalog-Ressource erteilen, müssen Sie alle Lake-Formation-Berechtigungen der IAMAllowedPrincipals Gruppe für die Ressource entziehen. Wenn der aufrufende Prinzipal über kontoübergreifende Berechtigungen für den Zugriff auf eine Ressource verfügt und die IAMAllowedPrincipals Berechtigung für die Ressource vorhanden ist, gibt Lake Formation ausAccessDeniedException.

    Diese Anforderung gilt nur, wenn Sie den zugrunde liegenden Datenspeicherort im Lake-Formation-Modus registrieren. Wenn Sie den Datenspeicherort im Hybridmodus registrieren, können die IAMAllowedPrincipals Gruppenberechtigungen für die freigegebene Datenbank oder Tabelle vorhanden sein.

  • Für Datenbanken, die Tabellen enthalten, die Sie freigeben möchten, müssen Sie verhindern, dass neue Tabellen eine Standardgewährung von Super für habenIAMAllowedPrincipals. Bearbeiten Sie in der Lake-Formation-Konsole die Datenbank und deaktivieren Sie Nur IAM-Zugriffskontrolle für neue Tabellen in dieser Datenbank verwenden oder geben Sie den folgenden AWS CLI Befehl ein, indem Sie durch database den Namen der Datenbank ersetzen. Wenn der zugrunde liegende Datenspeicherort im Hybridzugriffsmodus registriert ist, müssen Sie diese Standardeinstellung nicht ändern. Im Hybridzugriffsmodus können Sie mit Lake Formation selektiv Lake-Formation-Berechtigungen und IAM-Berechtigungsrichtlinien für Amazon S3 und AWS Glue für dieselbe Ressource erzwingen.

    
aws glue update-database --name database --database-input '{"Name":"database","CreateTableDefaultPermissions":[]}'

  • Um kontoübergreifende Berechtigungen zu erteilen, muss der Erteilungsgeber über die erforderlichen AWS Identity and Access Management (IAM)-Berechtigungen für AWS Glue und den - AWS RAM Service verfügen. Die AWS von verwaltete Richtlinie AWSLakeFormationCrossAccountManager gewährt die erforderlichen Berechtigungen.

    Data-Lake-Administratoren in Konten, die Ressourcenfreigaben mit erhalten, AWS RAM müssen über die folgende zusätzliche Richtlinie verfügen. Es ermöglicht dem Administrator, Einladungen zur gemeinsamen Nutzung von AWS RAM Ressourcen anzunehmen. Außerdem kann der Administrator die Ressourcenfreigabe für Organisationen aktivieren.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:RejectResourceShareInvitation",
                "ec2:DescribeAvailabilityZones",
                "ram:EnableSharingWithAwsOrganization"
            ],
            "Resource": "*"
        }
    ]
}

  • Wenn Sie Data-Catalog-Ressourcen für AWS Organizations oder Organisationseinheiten freigeben möchten, muss die Freigabe für Organisationen in aktiviert sein AWS RAM.

    Informationen zum Aktivieren der Freigabe für Organisationen finden Sie unter Aktivieren der Freigabe für AWS Organisationen im AWS RAM -Benutzerhandbuch.

    Sie müssen über die ram:EnableSharingWithAwsOrganization Berechtigung verfügen, die Freigabe für Organisationen zu aktivieren.

  • Um Ressourcen direkt mit einem IAM-Prinzipal in einem anderen Konto zu teilen, müssen Sie die Einstellungen für die kontoübergreifende Version auf Version 3 aktualisieren. Diese Einstellung ist auf der Seite Datenkatalogeinstellungen verfügbar. Wenn Sie Version 1 verwenden, lesen Sie die Anweisungen zum Aktualisieren der Einstellung Aktualisieren der kontoübergreifenden Versionseinstellungen für die Datenfreigabe.

  • Sie können Data-Catalog-Ressourcen, die mit einem vom AWS Glue Service verwalteten Schlüssel verschlüsselt sind, nicht mit einem anderen Konto teilen. Sie können nur Data-Catalog-Ressourcen freigeben, die mit dem Verschlüsselungsschlüssel des Kunden verschlüsselt sind, und das Konto, das die Ressourcenfreigabe empfängt, muss über Berechtigungen für den Data-Catalog-Verschlüsselungsschlüssel verfügen, um die Objekte zu entschlüsseln.

Kontoübergreifende Datenfreigabe unter Verwendung von LF-TBAC-Anforderungen

  • Um Data-Catalog-Ressourcen für AWS Organizations und Organisationseinheiten (OUs) freizugeben, müssen Sie die Einstellungen für die kontoübergreifende Version auf Version 3 aktualisieren.

  • Um Data-Catalog-Ressourcen für Version 3 der kontoübergreifenden Versionseinstellungen freizugeben, benötigt der Gewährungsgeber die in der AWS verwalteten Richtlinie AWSLakeFormationCrossAccountManager in Ihrem Konto definierten IAM-Berechtigungen.

  • Wenn Sie Version 1 oder Version 2 der kontoübergreifenden Versionseinstellungen verwenden, benötigen Sie eine Data-Catalog-Ressourcenrichtlinie (glue:PutResourcePolicy), die LF-TBAC aktiviert. Weitere Informationen finden Sie unter Verwalten von kontoübergreifenden Berechtigungen mit AWS Glue und Lake Formation.

  • Wenn Sie derzeit eine -AWS GlueData-Catalog-Ressourcenrichtlinie verwenden, um Ressourcen gemeinsam zu nutzen, und Sie kontoübergreifende Berechtigungen mit Version 3 der kontoübergreifenden Versionseinstellungen erteilen möchten, müssen Sie die glue:ShareResource Berechtigung in den Data-Catalog-Einstellungen mithilfe der glue:PutResourcePolicy API-Operation hinzufügen, wie im Verwalten von kontoübergreifenden Berechtigungen mit AWS Glue und Lake Formation Abschnitt gezeigt. Diese Richtlinie ist nicht erforderlich, wenn Ihr Konto mithilfe der AWS Glue Data-Catalog-Ressourcenrichtlinie keine kontoübergreifenden Berechtigungen erteilt hat (mit Version 1 und Version 2 die glue:PutResourcePolicy Berechtigung), um kontoübergreifenden Zugriff zu gewähren. 

    {
      "Effect": "Allow",
      "Action": [
        "glue:ShareResource"
      ],
      "Principal": {"Service": [
        "ram.amazonaws.com"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:<account-id>:table/*/*",
        "arn:aws:glue:<region>:<account-id>:database/*",
        "arn:aws:glue:<region>:<account-id>:catalog"
      ]
    }

  • Wenn Ihr Konto kontoübergreifende Freigaben mithilfe der AWS Glue Data-Catalog-Ressourcenrichtlinie vorgenommen hat und Sie derzeit die benannte Ressourcenmethode oder LF-TBAC mit den kontoübergreifenden Einstellungen Version 3 verwenden, um Ressourcen gemeinsam zu nutzen, die AWS RAM zum Freigeben von Ressourcen verwendet, müssen Sie das EnableHybrid Argument auf festlegen, 'true' wenn Sie den glue:PutResourcePolicy API-Vorgang aufrufen. Weitere Informationen finden Sie unter Verwalten von kontoübergreifenden Berechtigungen mit AWS Glue und Lake Formation.

Einrichtung erforderlich in jedem Konto, das auf die freigegebene Ressource zugreift

  • Wenn Sie Ressourcen mit teilen AWS-Konten, muss mindestens ein Benutzer im Konsumentenkonto ein Data-Lake-Administrator sein, um gemeinsam genutzte Ressourcen anzeigen zu können. Informationen zum Erstellen eines Data-Lake-Administrators finden Sie unter Erstellen eines Data-Lake-Administrators.

    Der Data-Lake-Administrator kann anderen Prinzipalen im Konto Lake-Formation-Berechtigungen für die gemeinsam genutzten Ressourcen erteilen. Andere Prinzipale können erst auf gemeinsam genutzte Ressourcen zugreifen, wenn der Data-Lake-Administrator ihnen Berechtigungen für die Ressourcen erteilt.

  • Integrierte Services wie Athena und Redshift Spectrum erfordern Ressourcenlinks, um gemeinsam genutzte Ressourcen in Abfragen aufnehmen zu können. Prinzipale müssen in ihrem Data Catalog einen Ressourcenlink zu einer freigegebenen Ressource aus einem anderen erstellen AWS-Konto. Weitere Informationen zu Ressourcenlinks finden Sie unter Funktionsweise von Ressourcenverbindungen in Lake Formation.

  • Wenn eine Ressource direkt mit einem IAM-Prinzipal geteilt wird, muss der Prinzipal einen Ressourcenlink erstellen, um die Tabelle mit Athena abzufragen. Um einen Ressourcenlink zu erstellen, benötigt der Prinzipal die Lake-Formation- CREATE_TABLE oder -CREATE_DATABASEBerechtigung sowie die - glue:CreateTable oder glue:CreateDatabase IAM-Berechtigung.

    Wenn das Produzentenkonto eine andere Tabelle unter derselben Datenbank mit demselben oder einem anderen Prinzipal teilt, kann dieser Prinzipal die Tabelle sofort abfragen.

Anmerkung

Für den Data-Lake-Administrator und für Prinzipale, denen der Data-Lake-Administrator Berechtigungen erteilt hat, werden gemeinsam genutzte Ressourcen im Data Catalog angezeigt, als wären sie lokale (eigene) Ressourcen. Extract, Transform, Load (ETL)-Aufträge können auf die zugrunde liegenden Daten gemeinsam genutzter Ressourcen zugreifen.

Für gemeinsam genutzte Ressourcen zeigen die Seiten Tabellen und Datenbanken in der Lake-Formation-Konsole die Konto-ID des Besitzers an.

Wenn auf die zugrunde liegenden Daten einer freigegebenen Ressource zugegriffen wird, werden CloudTrail Protokollereignisse sowohl im Konto des freigegebenen Ressourcenempfängers als auch im Konto des Ressourcenbesitzers generiert. Die CloudTrail Ereignisse können den ARN des Prinzipals enthalten, der auf die Daten zugegriffen hat, aber nur, wenn das Empfängerkonto sich dafür entscheidet, den Prinzipal-ARN in die Protokolle aufzunehmen. Weitere Informationen finden Sie unter Kontoübergreifende CloudTrail Protokollierung.