Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Gemeinsame Nutzung einer Lake Formation Formation-Ressource im hybriden Zugriffsmodus

PDF
Fokusmodus
Gemeinsame Nutzung einer Lake Formation Formation-Ressource im hybriden Zugriffsmodus - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erlauben Sie neuen Data Catalog-Benutzern in einem externen Konto den Zugriff auf Data Catalog-Datenbanken und -Tabellen mithilfe von IAM-basierten Richtlinien, ohne die bestehenden Kontofreigabeberechtigungen von Lake Formation zu unterbrechen.

Beschreibung des Szenarios: Das Produzentenkonto verfügt über eine von Lake Formation verwaltete Datenbank und Tabellen, die mit einem externen (Verbraucher-) Konto auf Konto- oder IAM-Prinzipalebene gemeinsam genutzt werden. Der Datenstandort der Datenbank ist bei Lake Formation registriert. Die IAMAllowedPrincipals Gruppe hat keine Super Berechtigungen für die Datenbank und ihre Tabellen.

Neuen Data Catalog-Benutzern kontenübergreifenden Zugriff über IAM-basierte Richtlinien gewähren, ohne bestehende Lake Formation Formation-Berechtigungen zu unterbrechen
  1. Produzentenkonto eingerichtet

    1. Melden Sie sich mit einer Rolle bei der Lake Formation Formation-Konsole anlakeformation:PutDataLakeSettings.

    2. Wählen Sie unter Einstellungen für den Datenkatalog die Einstellungen Version 4 für die kontoübergreifende Version aus.

      Wenn Sie derzeit Version 1 oder 2 verwenden, lesen Sie die Aktualisierung der Versionseinstellungen für die kontenübergreifende gemeinsame Nutzung von Daten Anweisungen zur Aktualisierung auf Version 3.

      Für ein Upgrade von Version 3 auf 4 sind keine Änderungen der Berechtigungsrichtlinien erforderlich.

    3. Führen Sie die Berechtigungen auf, die Sie Prinzipalen für Datenbanken und Tabellen erteilt haben. Weitere Informationen finden Sie unter Datenbank- und Tabellenberechtigungen in Lake Formation anzeigen.

    4. Gewähren Sie bestehende kontoübergreifende Berechtigungen von Lake Formation erneut, indem Sie sich für Prinzipale und Ressourcen entscheiden.

      Anmerkung

      Bevor Sie eine Datenstandortregistrierung auf den Hybridzugriffsmodus aktualisieren, um kontenübergreifende Berechtigungen zu gewähren, müssen Sie mindestens eine kontenübergreifende Datenfreigabe pro Konto erneut gewähren. Dieser Schritt ist erforderlich, um die AWS RAM verwalteten Berechtigungen zu aktualisieren, die der Ressourcenfreigabe zugeordnet sind. AWS RAM

      Im Juli 2023 hat Lake Formation die AWS RAM verwalteten Berechtigungen aktualisiert, die für die gemeinsame Nutzung von Datenbanken und Tabellen verwendet werden:

      • arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueAllTablesReadWriteForDatabase(Richtlinie zur gemeinsamen Nutzung auf Datenbankebene)

      • arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueTableReadWrite(Freigaberichtlinie auf Tabellenebene)

      Für kontoübergreifende Genehmigungen, die vor Juli 2023 erteilt wurden, gelten diese aktualisierten Berechtigungen nicht. AWS RAM

      Wenn Sie Prinzipalen direkt kontoübergreifende Berechtigungen erteilt haben, müssen Sie diese Berechtigungen den Prinzipalen einzeln erneut gewähren. Wenn Sie diesen Schritt überspringen, wird bei den Prinzipalen, die auf die gemeinsam genutzte Ressource zugreifen, möglicherweise ein unzulässiger Kombinationsfehler angezeigt.

    5. Gehe zu https://console.aws.amazon.com/ram.

    6. Auf der Registerkarte Von mir gemeinsam genutzt in der AWS RAM Konsole werden die Datenbank- und Tabellennamen angezeigt, die Sie mit einem externen Konto oder Prinzipal geteilt haben.

      Stellen Sie sicher, dass die mit der gemeinsam genutzten Ressource verknüpften Berechtigungen den richtigen ARN haben.

    7. Stellen Sie sicher, dass die Ressourcen in der AWS RAM Freigabe Associated den Status haben. Wenn der Status als angezeigt wirdAssociating, warten Sie, bis sie in den Associated Status wechseln. Wenn der Status lautetFailed, halten Sie an und wenden Sie sich an das Lake Formation-Serviceteam.

    8. Wählen Sie in der linken Navigationsleiste unter Berechtigungen den Hybrid-Zugriffsmodus aus und klicken Sie dann auf Hinzufügen.

    9. Auf der Seite „Prinzipale und Ressourcen hinzufügen“ werden die Datenbanken und/oder Tabellen und die Prinzipale angezeigt, die Zugriff haben. Sie können die erforderlichen Aktualisierungen vornehmen, indem Sie Prinzipale und Ressourcen hinzufügen oder entfernen.

    10. Wählen Sie die Principals mit Lake Formation Formation-Berechtigungen für die Datenbank und die Tabellen aus, die Sie in den Hybridzugriffsmodus ändern möchten. Wählen Sie die Datenbanken und Tabellen aus.

    11. Wählen Sie Hinzufügen, um die Principals zu aktivieren, um Lake Formation Formation-Berechtigungen im Hybridzugriffsmodus durchzusetzen.

    12. Erteilen Sie der virtuellen Gruppe Super IAMAllowedPrincipals Berechtigungen für Ihre Datenbank und ausgewählte Tabellen.

    13. Bearbeiten Sie die Registrierung des Amazon S3 S3-Standorts Lake Formation in den Hybridzugriffsmodus.

    14. Erteilen Sie den AWS Glue Benutzern im externen (Verbraucher-) Konto mithilfe von IAM-Berechtigungsrichtlinien für Amazon S3 AWS Glue S3-Aktionen Berechtigungen.

  2. Kundenkonto eingerichtet

    1. Melden Sie sich https://console.aws.amazon.com/lakeformation/als Data Lake-Administrator bei der Lake Formation Formation-Konsole an.

    2. Gehen Sie zu https://console.aws.amazon.com/ram und nehmen Sie die Einladung zur gemeinsamen Nutzung von Ressourcen an. Auf der Registerkarte Mit mir geteilte Ressourcen auf der AWS RAM Seite werden die Datenbank- und Tabellennamen angezeigt, die mit Ihrem Konto geteilt wurden.

      Stellen Sie für das AWS RAM Teilen sicher, dass die angehängte Berechtigung den richtigen ARN der geteilten AWS RAM Einladung enthält. Prüfen Sie, ob sich die Ressourcen in der AWS RAM Freigabe im Associated Status befinden. Wenn der Status als angezeigt wirdAssociating, warten Sie, bis sie in den Associated Status wechseln. Wenn der Status lautetFailed, halten Sie an und wenden Sie sich an das Lake Formation-Serviceteam.

    3. Erstellen Sie einen Ressourcenlink zur gemeinsam genutzten Datenbank und/oder Tabelle in Lake Formation.

    4. DescribeErteilen Sie den IAM-Prinzipalen in Ihrem (Verbraucher-) Konto Grant on target Berechtigungen für den Ressourcenlink und Berechtigungen (für die ursprünglich gemeinsam genutzte Ressource).

    5. Als Nächstes richten Sie Lake Formation Formation-Berechtigungen für Principals in Ihrem Konto in der gemeinsam genutzten Datenbank oder Tabelle ein.

      Wählen Sie in der linken Navigationsleiste unter Berechtigungen den Hybridzugriffsmodus aus.

    6. Wählen Sie im unteren Bereich der Seite für den hybriden Zugriffsmodus die Option Hinzufügen aus, um die Prinzipale und die Datenbank oder Tabelle zu aktivieren, die über das Produzentenkonto für Sie freigegeben wurde.

    7. Erteilen Sie den AWS Glue Benutzern in Ihrem Konto mithilfe von IAM-Berechtigungsrichtlinien für Amazon S3 AWS Glue S3-Aktionen Berechtigungen.

    8. Testen Sie die Lake Formation Formation-Berechtigungen und AWS Glue -Berechtigungen der Benutzer, indem Sie mit Athena separate Beispielabfragen für die Tabelle ausführen

      (Optional) Bereinigen Sie die IAM-Berechtigungsrichtlinien für Amazon S3 für die Principals, die sich im Hybridzugriffsmodus befinden.

Related resources

AWS Lake Formation API-Referenz
AWS CLI Befehle für AWS Lake Formation
SDKs und Werkzeuge 

Related resources

AWS Lake Formation API-Referenz
AWS CLI Befehle für AWS Lake Formation
SDKs und Werkzeuge 
DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.