Verwaltung kontenübergreifender Berechtigungen sowohl AWS Glue mit Lake Formation als auch mit Lake Formation

Es ist möglich, kontenübergreifenden Zugriff auf Datenkatalogressourcen und zugrunde liegende Daten zu gewähren, indem Sie entweder oder AWS Glue verwenden. AWS Lake Formation

In gewähren Sie kontoübergreifenden ZugriffAWS Glue, indem Sie eine Datenkatalog-Ressourcenrichtlinie erstellen oder aktualisieren. In Lake Formation gewähren Sie kontoübergreifende Berechtigungen, indem Sie das Lake Formation GRANT/REVOKE Formation-Berechtigungsmodell und den Grant Permissions API-Vorgang verwenden.

Tipp

Wir empfehlen, sich ausschließlich auf die Berechtigungen von Lake Formation zu verlassen, um Ihren Data Lake zu sichern.

Sie können kontoübergreifende Zuschüsse von Lake Formation in der Lake Formation Formation-Konsole oder der Konsole AWS Resource Access Manager (AWS RAM) anzeigen. Auf diesen Konsolenseiten werden jedoch keine kontoübergreifenden Berechtigungen angezeigt, die durch die AWS Glue Datenkatalog-Ressourcenrichtlinie gewährt wurden. In ähnlicher Weise können Sie die kontoübergreifenden Zuweisungen in der Datenkatalog-Ressourcenrichtlinie auf der Einstellungsseite der AWS Glue Konsole anzeigen, aber auf dieser Seite werden die mit Lake Formation gewährten kontoübergreifenden Berechtigungen nicht angezeigt.

Um sicherzustellen, dass Sie bei der Anzeige und Verwaltung von kontoübergreifenden Berechtigungen keine Zuschüsse verpassen, AWS Glue fordern Lake Formation und Sie auf, die folgenden Aktionen durchzuführen, um anzuzeigen, dass Sie sich der kontenübergreifenden Zuschüsse sowohl von Lake Formation als auch bewusst sind und diese zulassen. AWS Glue

Bei der Gewährung kontenübergreifender Berechtigungen mithilfe der AWS Glue Datenkatalog-Ressourcenrichtlinie

Wenn Ihr Konto (Förderkonto oder Produzentenkonto) keine kontoübergreifenden Zuschüsse gewährt hat, die AWS RAM zur gemeinsamen Nutzung der Ressourcen verwendet werden, können Sie eine Datenkatalog-Ressourcenrichtlinie wie gewohnt unter speichern. AWS Glue Wenn jedoch bereits Zuschüsse gewährt wurden, die gemeinsame Nutzung von AWS RAM Ressourcen beinhalten, müssen Sie einen der folgenden Schritte ausführen, um sicherzustellen, dass das Speichern der Ressourcenrichtlinie erfolgreich ist:

Wenn Sie die Ressourcenrichtlinie auf der Seite Einstellungen der AWS Glue Konsole speichern, gibt die Konsole eine Warnung aus, dass die in der Richtlinie enthaltenen Berechtigungen zusätzlich zu den über die Lake Formation Formation-Konsole gewährten Berechtigungen gelten. Sie müssen Fortfahren wählen, um die Richtlinie zu speichern.
Wenn Sie die Ressourcenrichtlinie mithilfe des glue:PutResourcePolicy API-Vorgangs speichern, müssen Sie das EnableHybrid Feld auf 'TRUE' (type = string) setzen.

Um eine bestehende Ressourcenrichtlinie zu aktualisieren, rufen Sie mithilfe des glue:GetResourcePolicy API-Vorgangs zunächst Ihre aktuelle Richtlinie ab und ändern Sie sie dann nach Bedarf, bevor Sie sie aufrufenglue:PutResourcePolicy.

Anmerkung
Wenn Sie AWS Glue Ressourcenrichtlinien für den kontoübergreifenden Zugriff erstellen, gewähren Sie nur die Mindestberechtigungen, die für Ihren speziellen Anwendungsfall erforderlich sind.

Weitere Informationen finden Sie unter PutResourcePolicy Action (Python: put_resource_policy) im Developer Guide.AWS Glue

Bei der Gewährung kontenübergreifender Berechtigungen mithilfe der Lake Formation Formation-Methode für benannte Ressourcen

Wenn es in Ihrem Konto (Produzentenkonto) keine Datenkatalog-Ressourcenrichtlinie gibt, werden die von Ihnen gewährten kontoübergreifenden Zuschüsse von Lake Formation wie gewohnt durchgeführt. Wenn jedoch eine Datenkatalog-Ressourcenrichtlinie vorhanden ist, müssen Sie dieser die folgende Erklärung hinzufügen, damit Ihre kontoübergreifenden Zuschüsse erfolgreich sind, wenn sie mit der benannten Ressourcenmethode gewährt werden. <region>Ersetzen Sie es durch einen gültigen Regionsnamen und <account-id> durch Ihre AWS Konto-ID (Herstellerkonto-ID).


    {
      "Effect": "Allow",
      "Action": [
        "glue:ShareResource"
      ],
      "Principal": {"Service": [
        "ram.amazonaws.com"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:<account-id>:table/*/*",
        "arn:aws:glue:<region>:<account-id>:database/*",
        "arn:aws:glue:<region>:<account-id>:catalog"
      ]
    }

Ohne diese zusätzliche Erklärung ist der Lake Formation Formation-Zuschuss erfolgreich, wird jedoch gesperrt AWS RAM, und das Empfängerkonto kann nicht auf die gewährte Ressource zugreifen.

Wichtig

Wenn Sie die Tag-Based Access Control (LF-TBAC) -Methode von Lake Formation verwenden, um kontenübergreifende Zuschüsse zu gewähren, benötigen Sie eine Datenkatalog-Ressourcenrichtlinie mit mindestens den unter angegebenen Berechtigungen. Voraussetzungen

Weitere Informationen finden Sie unter:

Zugriffskontrolle für Metadaten(für eine Diskussion der benannten Ressourcenmethode im Vergleich zur Tag-Based Access Control (LF-TBAC) -Methode von Lake Formation).
Tabellen und Datenbanken des gemeinsamen Datenkatalogs anzeigen
Arbeiten mit Datenkatalogeinstellungen auf der AWS Glue Konsole im Entwicklerhandbuch AWS Glue
Gewähren von kontenübergreifendem Zugriff im AWS Glue Entwicklerhandbuch (für Beispielrichtlinien für Datenkatalog-Ressourcen)

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Kontoübergreifende Protokollierung CloudTrail

Alle kontenübergreifenden Zuschüsse mithilfe des GetResourceShares API-Vorgangs anzeigen