Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwaltung kontenübergreifender Berechtigungen sowohl AWS Glue mit Lake Formation als auch mit Lake Formation
Es ist möglich, kontenübergreifenden Zugriff auf Datenkatalogressourcen und zugrunde liegende Daten zu gewähren, indem Sie entweder oder AWS Glue verwenden. AWS Lake Formation
In gewähren Sie kontoübergreifenden ZugriffAWS Glue, indem Sie eine Datenkatalog-Ressourcenrichtlinie erstellen oder aktualisieren. In Lake Formation gewähren Sie kontoübergreifende Berechtigungen, indem Sie das Lake Formation GRANT/REVOKE
Formation-Berechtigungsmodell und den Grant Permissions
API-Vorgang verwenden.
Tipp
Wir empfehlen, sich ausschließlich auf die Berechtigungen von Lake Formation zu verlassen, um Ihren Data Lake zu sichern.
Sie können kontoübergreifende Zuschüsse von Lake Formation in der Lake Formation Formation-Konsole oder der Konsole AWS Resource Access Manager (AWS RAM) anzeigen. Auf diesen Konsolenseiten werden jedoch keine kontoübergreifenden Berechtigungen angezeigt, die durch die AWS Glue Datenkatalog-Ressourcenrichtlinie gewährt wurden. In ähnlicher Weise können Sie die kontoübergreifenden Zuweisungen in der Datenkatalog-Ressourcenrichtlinie auf der Einstellungsseite der AWS Glue Konsole anzeigen, aber auf dieser Seite werden die mit Lake Formation gewährten kontoübergreifenden Berechtigungen nicht angezeigt.
Um sicherzustellen, dass Sie bei der Anzeige und Verwaltung von kontoübergreifenden Berechtigungen keine Zuschüsse verpassen, AWS Glue fordern Lake Formation und Sie auf, die folgenden Aktionen durchzuführen, um anzuzeigen, dass Sie sich der kontenübergreifenden Zuschüsse sowohl von Lake Formation als auch bewusst sind und diese zulassen. AWS Glue
Bei der Gewährung kontenübergreifender Berechtigungen mithilfe der AWS Glue Datenkatalog-Ressourcenrichtlinie
Wenn Ihr Konto (Förderkonto oder Produzentenkonto) keine kontoübergreifenden Zuschüsse gewährt hat, die AWS RAM zur gemeinsamen Nutzung der Ressourcen verwendet werden, können Sie eine Datenkatalog-Ressourcenrichtlinie wie gewohnt unter speichern. AWS Glue Wenn jedoch bereits Zuschüsse gewährt wurden, die gemeinsame Nutzung von AWS RAM Ressourcen beinhalten, müssen Sie einen der folgenden Schritte ausführen, um sicherzustellen, dass das Speichern der Ressourcenrichtlinie erfolgreich ist:
-
Wenn Sie die Ressourcenrichtlinie auf der Seite Einstellungen der AWS Glue Konsole speichern, gibt die Konsole eine Warnung aus, dass die in der Richtlinie enthaltenen Berechtigungen zusätzlich zu den über die Lake Formation Formation-Konsole gewährten Berechtigungen gelten. Sie müssen Fortfahren wählen, um die Richtlinie zu speichern.
-
Wenn Sie die Ressourcenrichtlinie mithilfe des
glue:PutResourcePolicy
API-Vorgangs speichern, müssen Sie dasEnableHybrid
Feld auf 'TRUE
' (type = string) setzen.Um eine bestehende Ressourcenrichtlinie zu aktualisieren, rufen Sie mithilfe des
glue:GetResourcePolicy
API-Vorgangs zunächst Ihre aktuelle Richtlinie ab und ändern Sie sie dann nach Bedarf, bevor Sie sie aufrufenglue:PutResourcePolicy
.Anmerkung
Wenn Sie AWS Glue Ressourcenrichtlinien für den kontoübergreifenden Zugriff erstellen, gewähren Sie nur die Mindestberechtigungen, die für Ihren speziellen Anwendungsfall erforderlich sind.
Weitere Informationen finden Sie unter PutResourcePolicy Action (Python: put_resource_policy) im Developer Guide.AWS Glue
Bei der Gewährung kontenübergreifender Berechtigungen mithilfe der Lake Formation Formation-Methode für benannte Ressourcen
Wenn es in Ihrem Konto (Produzentenkonto) keine Datenkatalog-Ressourcenrichtlinie gibt, werden die von Ihnen gewährten kontoübergreifenden Zuschüsse von Lake Formation wie gewohnt durchgeführt. Wenn jedoch eine Datenkatalog-Ressourcenrichtlinie vorhanden ist, müssen Sie dieser die folgende Erklärung hinzufügen, damit Ihre kontoübergreifenden Zuschüsse erfolgreich sind, wenn sie mit der benannten Ressourcenmethode gewährt werden. <region>
Ersetzen Sie es durch einen gültigen Regionsnamen und <account-id>
durch Ihre AWS Konto-ID (Herstellerkonto-ID).
{ "Effect": "Allow", "Action": [ "glue:ShareResource" ], "Principal": {"Service": [ "ram.amazonaws.com" ]}, "Resource": [ "arn:aws:glue:
<region>
:<account-id>
:table/*/*", "arn:aws:glue:<region>
:<account-id>
:database/*", "arn:aws:glue:<region>
:<account-id>
:catalog" ] }
Ohne diese zusätzliche Erklärung ist der Lake Formation Formation-Zuschuss erfolgreich, wird jedoch gesperrt AWS RAM, und das Empfängerkonto kann nicht auf die gewährte Ressource zugreifen.
Wichtig
Wenn Sie die Tag-Based Access Control (LF-TBAC) -Methode von Lake Formation verwenden, um kontenübergreifende Zuschüsse zu gewähren, benötigen Sie eine Datenkatalog-Ressourcenrichtlinie mit mindestens den unter angegebenen Berechtigungen. Voraussetzungen
Weitere Informationen finden Sie unter:
-
Zugriffskontrolle für Metadaten(für eine Diskussion der benannten Ressourcenmethode im Vergleich zur Tag-Based Access Control (LF-TBAC) -Methode von Lake Formation).
-
Tabellen und Datenbanken des gemeinsamen Datenkatalogs anzeigen
-
Arbeiten mit Datenkatalogeinstellungen auf der AWS Glue Konsole im Entwicklerhandbuch AWS Glue
-
Gewähren von kontenübergreifendem Zugriff im AWS Glue Entwicklerhandbuch (für Beispielrichtlinien für Datenkatalog-Ressourcen)