Verwaltung kontenübergreifender Berechtigungen mit beiden AWS Glue und Lake Formation - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung kontenübergreifender Berechtigungen mit beiden AWS Glue und Lake Formation

Es ist möglich, kontenübergreifenden Zugriff auf Datenkatalogressourcen und die zugrunde liegenden Daten zu gewähren, indem Sie entweder AWS Glue oder AWS Lake Formation.

In AWS Glue, Sie gewähren kontoübergreifende Berechtigungen, indem Sie eine Datenkatalog-Ressourcenrichtlinie erstellen oder aktualisieren. In Lake Formation gewähren Sie kontenübergreifende Berechtigungen, indem Sie das Lake Formation GRANT/REVOKE Formation-Berechtigungsmodell und den Grant Permissions API Vorgang verwenden.

Tipp

Wir empfehlen, sich ausschließlich auf die Berechtigungen von Lake Formation zu verlassen, um Ihren Data Lake zu sichern.

Sie können kontoübergreifende Zuschüsse von Lake Formation in der Lake Formation Formation-Konsole oder der Konsole AWS Resource Access Manager (AWS RAM) anzeigen. Auf diesen Konsolenseiten werden jedoch keine kontoübergreifenden Berechtigungen angezeigt, die von AWS Glue Ressourcenrichtlinie für den Datenkatalog. In ähnlicher Weise können Sie die kontoübergreifenden Zuschüsse in der Datenkatalog-Ressourcenrichtlinie auf der Seite Einstellungen der AWS Glue Konsole, aber auf dieser Seite werden nicht die kontoübergreifenden Berechtigungen angezeigt, die mit Lake Formation gewährt wurden.

Um sicherzustellen, dass Sie bei der Anzeige und Verwaltung von kontoübergreifenden Berechtigungen keine Zuschüsse verpassen, haben Lake Formation und AWS Glue von Ihnen verlangen, dass Sie die folgenden Maßnahmen ergreifen, um anzugeben, dass Sie sich der kontenübergreifenden Zuschüsse von Lake Formation und AWS Glue.

Bei der Gewährung kontenübergreifender Berechtigungen mit dem AWS Glue Ressourcenrichtlinie für den Datenkatalog

Wenn Ihr Konto (Fördererkonto oder Produzentenkonto) keine kontenübergreifenden Zuschüsse gewährt hat, die AWS RAM zur gemeinsamen Nutzung der Ressourcen verwendet werden, können Sie eine Datenkatalog-Ressourcenrichtlinie wie gewohnt in speichern AWS Glue. Wenn jedoch bereits Zuschüsse gewährt wurden, die gemeinsame Nutzung von AWS RAM Ressourcen beinhalten, müssen Sie einen der folgenden Schritte ausführen, um sicherzustellen, dass das Speichern der Ressourcenrichtlinie erfolgreich ist:

  • Wenn Sie die Ressourcenrichtlinie auf der Seite Einstellungen des speichern AWS Glue Konsole, die Konsole gibt eine Warnung aus, die besagt, dass die Berechtigungen in der Richtlinie zusätzlich zu allen Berechtigungen gelten, die über die Lake Formation Formation-Konsole gewährt wurden. Sie müssen Fortfahren wählen, um die Richtlinie zu speichern.

  • Wenn Sie die Ressourcenrichtlinie mithilfe des glue:PutResourcePolicy API Vorgangs speichern, müssen Sie das EnableHybrid Feld auf 'TRUE' (Typ = Zeichenfolge) setzen. Das folgende Codebeispiel zeigt, wie das in Python gemacht wird.

    import boto3
import json

REGION = 'us-east-2'
PRODUCER_ACCOUNT_ID = '123456789012'
CONSUMER_ACCOUNT_IDs = ['111122223333']

glue = glue_client = boto3.client('glue')

policy = {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Cataloguers",
            "Effect": "Allow",
            "Action": [
                "glue:*"
            ],
            "Principal": {
                "AWS": CONSUMER_ACCOUNT_IDs
            },
            "Resource": [
                f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:catalog",
                f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:database/*",
                f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:table/*/*"
            ]
        }
    ]
}

policy = json.dumps(policy)
glue.put_resource_policy(PolicyInJson=policy, EnableHybrid='TRUE')

    Weitere Informationen finden Sie unter PutResourcePolicy Action (Python: put_resource_policy) im Developer Guide.AWS Glue

Bei der Gewährung kontenübergreifender Berechtigungen mithilfe der Lake Formation Formation-Methode für benannte Ressourcen

Wenn es in Ihrem Konto (Produzentenkonto) keine Datenkatalog-Ressourcenrichtlinie gibt, werden die von Ihnen gewährten kontoübergreifenden Zuschüsse von Lake Formation wie gewohnt durchgeführt. Wenn jedoch eine Datenkatalog-Ressourcenrichtlinie vorhanden ist, müssen Sie dieser die folgende Erklärung hinzufügen, damit Ihre kontoübergreifenden Zuschüsse erfolgreich sind, wenn sie mit der benannten Ressourcenmethode gewährt werden. Ersetzen <region> mit einem gültigen Regionsnamen und <account-id> mit Ihrer AWS Konto-ID (Herstellerkonto-ID).

    {
      "Effect": "Allow",
      "Action": [
        "glue:ShareResource"
      ],
      "Principal": {"Service": [
        "ram.amazonaws.com"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:<account-id>:table/*/*",
        "arn:aws:glue:<region>:<account-id>:database/*",
        "arn:aws:glue:<region>:<account-id>:catalog"
      ]
    }

Ohne diese zusätzliche Erklärung ist der Lake Formation Formation-Zuschuss erfolgreich, wird jedoch gesperrt AWS RAM, und das Empfängerkonto kann nicht auf die gewährte Ressource zugreifen.

Wichtig

Wenn Sie die tagbasierte Zugriffssteuerungsmethode (LF-TBAC) von Lake Formation verwenden, um kontenübergreifende Zuweisungen zu gewähren, benötigen Sie eine Datenkatalog-Ressourcenrichtlinie mit mindestens den unter angegebenen Berechtigungen. Voraussetzungen

Weitere Informationen finden Sie unter: