Aktualisierung der Versionseinstellungen für die kontenübergreifende gemeinsame Nutzung von Daten

AWS Lake Formation Aktualisiert von Zeit zu Zeit die Einstellungen für den kontenübergreifenden Datenaustausch, um die an der AWS RAM Nutzung vorgenommenen Änderungen zu erkennen und Aktualisierungen der Funktion für den kontenübergreifenden Datenaustausch zu unterstützen. Wenn Lake Formation dies tut, erstellt es eine neue Version der Einstellungen für die kontoübergreifende Version.

Hauptunterschiede zwischen den Einstellungen der kontoübergreifenden Version

In den folgenden Abschnitten finden Sie weitere Informationen dazu, wie die kontoübergreifende Datenfreigabe unter verschiedenen kontoübergreifenden Versionseinstellungen funktioniert.

Anmerkung

Um Daten mit einem anderen Konto gemeinsam zu nutzen, muss der Lizenzgeber über AWSLakeFormationCrossAccountManager verwaltete IAM-Richtlinienberechtigungen verfügen. Dies ist eine Voraussetzung für alle Versionen.

Die Aktualisierung der Einstellungen für die kontoübergreifende Version hat keine Auswirkungen auf die Berechtigungen, über die der Empfänger für gemeinsam genutzte Ressourcen verfügt. Dies gilt für die Aktualisierung von Version 1 auf Version 2, Version 2 auf Version 3 und Version 1 auf Version 3. Beachten Sie beim Aktualisieren von Versionen die unten aufgeführten Überlegungen.

Version 1

Methode mit benannter Ressource: Ordnet jede kontoübergreifende Lake Formation Formation-Genehmigungserteilung einer AWS RAM Ressourcenfreigabe zu. Der Benutzer (Rolle des Erteilers oder Principal) benötigt keine zusätzlichen Berechtigungen.

LF-TBAC-Methode: Kontoübergreifende Lake Formation Formation-Genehmigungen werden nicht für die gemeinsame Nutzung von Daten verwendet. AWS RAM Der Benutzer muss über eine entsprechende Genehmigung verfügen. glue:PutResourcePolicy

Vorteile der Aktualisierung von Versionen: Erste Version — nicht zutreffend.

Überlegungen bei der Aktualisierung von Versionen: Erste Version — nicht zutreffend

Version 2

Methode mit benannter Ressource: Optimiert die Anzahl der gemeinsam genutzten AWS RAM Ressourcen, indem mehrere kontoübergreifende Zugriffsberechtigungen einer AWS RAM Ressourcenfreigabe zugeordnet werden. Der Benutzer benötigt keine zusätzlichen Berechtigungen.

LF-TBAC-Methode: Kontoübergreifende Lake Formation Formation-Genehmigungen werden nicht für die gemeinsame Nutzung von Daten verwendet. AWS RAM Der Benutzer muss über eine entsprechende Genehmigung verfügen. glue:PutResourcePolicy

Vorteile der Aktualisierung von Versionen: Skalierbares, kontenübergreifendes Setup durch optimale AWS RAM Kapazitätsauslastung.

Überlegungen beim Aktualisieren von Versionen: Benutzer, die kontoübergreifende Lake Formation Formation-Berechtigungen gewähren möchten, müssen über die Berechtigungen in der AWSLakeFormationCrossAccountManager AWS verwalteten Richtlinie verfügen. Andernfalls benötigen Sie die ram:DisassociateResourceShare erforderlichen Berechtigungen, um Ressourcen erfolgreich mit einem anderen Konto gemeinsam nutzen zu können. ram:AssociateResourceShare

Version 3

Methode mit benannter Ressource: Optimiert die Anzahl der gemeinsam genutzten AWS RAM Ressourcen, indem mehrere kontoübergreifende Zugriffsberechtigungen einer AWS RAM Ressourcenfreigabe zugeordnet werden. Der Benutzer benötigt keine zusätzlichen Berechtigungen.

LF-TBAC-Methode: Lake Formation verwendet AWS RAM für kontenübergreifende Zuschüsse. Der Benutzer muss der Erlaubnis die Anweisung glue: ShareResource hinzufügen. glue:PutResourcePolicy Der Empfänger muss Resource Share-Einladungen von annehmen AWS RAM.

Vorteile der Aktualisierung von Versionen: Unterstützt die folgenden Funktionen:

• Ermöglicht die explizite gemeinsame Nutzung von Ressourcen mit einem IAM-Prinzipal in einem externen Konto.

  Weitere Informationen finden Sie unter Erteilen und Widerrufen von Berechtigungen für Datenkatalogressourcen.

• Ermöglicht kontenübergreifende Freigaben mithilfe der LF-TBAC-Methode für Organizations oder Organisationseinheiten (OUs).

• Macht die Verwaltung zusätzlicher AWS Glue Richtlinien für kontoübergreifende Zuschüsse überflüssig.

Überlegungen bei der Aktualisierung von Versionen: Wenn Sie die LF-TBAC-Methode zur gemeinsamen Nutzung von Ressourcen verwenden und der Empfänger eine ältere Version als Version 3 verwendet und der Empfänger Version 3 oder höher verwendet, erhält der Zuschussgeber die folgende Fehlermeldung: „Ungültiger kontenübergreifender Zuschussantrag. Für das Kundenkonto gibt es die Opt-In für die kontoübergreifende Version: v3. Bitte aktualisieren Sie CrossAccountVersion DataLakeSetting auf die Minimalversion v3 (Service: AmazonDataCatalog; Statuscode: 400; Fehlercode: InvalidInputException)“. Wenn der Fördergeber jedoch Version 3 verwendet und der Empfänger Version 1 oder Version 2 verwendet, werden die kontenübergreifenden Zuschüsse mit LF-Tags erfolgreich durchgeführt.

Kontoübergreifende Zuschüsse, die mit der Methode der benannten Ressource gewährt wurden, sind zwischen verschiedenen Versionen kompatibel. Selbst wenn das Zuschusskonto eine ältere Version (Version 1 oder 2) und das Empfängerkonto eine neuere Version (Version 3 oder höher) verwendet, funktioniert die Funktion für den kontenübergreifenden Zugriff problemlos und ohne Kompatibilitätsprobleme oder -fehler.

Um Ressourcen direkt mit IAM-Prinzipalen in einem anderen Konto gemeinsam zu nutzen, muss nur der Grantor Version 3 verwenden.

Kontoübergreifende Zuschüsse, die mit der LF-TBAC-Methode gewährt werden, setzen voraus, dass Benutzer über eine Ressourcenrichtlinie im Konto verfügen. AWS Glue Data Catalog Wenn Sie auf Version 3 aktualisieren, gewährt LF-TBAC Nutzungen. AWS RAM Damit AWS RAM kontenübergreifende Zuschüsse erfolgreich sein können, müssen Sie die glue:ShareResource Erklärung zu Ihren bestehenden Datenkatalog-Ressourcenrichtlinien hinzufügen, wie im Abschnitt beschrieben. Verwaltung kontenübergreifender Berechtigungen sowohl AWS Glue mit Lake Formation als auch mit Lake Formation

Version 4

Der Fördergeber benötigt Version 4 oder höher, um Datenkatalogressourcen im Hybridzugriffsmodus gemeinsam nutzen zu können.

Optimieren Sie die gemeinsame Nutzung von AWS RAM Ressourcen

Neue Versionen (Version 2 und höher) von kontenübergreifenden Zuschüssen nutzen die AWS RAM Kapazität optimal, um die kontenübergreifende Nutzung zu maximieren. Wenn Sie eine Ressource mit einem externen AWS-Konto oder einem IAM-Prinzipal gemeinsam nutzen, erstellt Lake Formation möglicherweise eine neue Ressourcenfreigabe oder ordnet die Ressource einer vorhandenen Freigabe zu. Durch die Verknüpfung mit bestehenden Aktien reduziert Lake Formation die Anzahl der Einladungen zur gemeinsamen Nutzung von Ressourcen, die ein Verbraucher annehmen muss.

Aktivieren Sie AWS RAM Freigaben über TBAC oder geben Sie Ressourcen direkt an Principals weiter

Um Ressourcen direkt mit IAM-Prinzipalen in einem anderen Konto zu teilen oder um kontenübergreifende TBAC-Freigaben für Organizations oder Organisationseinheiten zu aktivieren, müssen Sie die Einstellungen für die kontenübergreifende Version auf Version 3 aktualisieren. Weitere Informationen AWS RAM zu Ressourcenlimits finden Sie unter. Bewährte Methoden und Überlegungen für den kontenübergreifenden Datenaustausch

Erforderliche Berechtigungen für die Aktualisierung der kontoübergreifenden Versionseinstellungen

Wenn ein kontoübergreifender Berechtigungsgeber IAM-Richtlinienberechtigungen AWSLakeFormationCrossAccountManager verwaltet hat, ist für die Rolle oder den Prinzipal des kontoübergreifenden Berechtigungsgewährers keine zusätzliche Berechtigungseinrichtung erforderlich. Wenn der kontoübergreifende Erteilende jedoch die verwaltete Richtlinie nicht verwendet, sollten der Rolle oder dem Prinzipal, der die Rechte erteilt hat, die folgenden IAM-Berechtigungen erteilt werden, damit die neue Version der kontoübergreifenden Erteilung erfolgreich ist.

  
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
         "ram:AssociateResourceShare",
         "ram:DisassociateResourceShare",
         "ram:GetResourceShares"
       ],
     "Resource": "*",
     "Condition": {
       "StringLike": {
         "ram:ResourceShareName": "LakeFormation*"
        }
      }
    }
  ]
}
     

Um die neue Version zu aktivieren

Gehen Sie wie folgt vor, um die Einstellungen der kontoübergreifenden Version über die AWS Lake Formation Konsole oder die zu aktualisieren AWS CLI.

Console

1. Wählen Sie auf der Seite mit den Einstellungen für den Datenkatalog unter Einstellungen für kontoübergreifende Versionen die Option Version 2, Version 3 oder Version 4. Wenn Sie Version 1 auswählen, verwendet Lake Formation den Standardmodus für die gemeinsame Nutzung von Ressourcen.

   

2. Wählen Sie Speichern.

AWS Command Line Interface (AWS CLI)

Verwenden Sie den put-data-lake-settings AWS CLI Befehl, um den CROSS_ACCOUNT_VERSION Parameter festzulegen. Zulässige Werte sind 1, 2, 3 und 4.

aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
    "DataLakeAdmins": [
        {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/test"
        }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "Parameters": {
        "CROSS_ACCOUNT_VERSION": "3"
    }
}                       
                         

Wichtig

Sobald Sie Version 2 oder Version 3 ausgewählt haben, durchlaufen alle neuen Zuschüsse für benannte Ressourcen den neuen kontenübergreifenden Zuweisungsmodus. Um die AWS RAM Kapazität Ihrer vorhandenen kontoübergreifenden Anteile optimal zu nutzen, empfehlen wir Ihnen, die mit der älteren Version gewährten Zuschüsse zu widerrufen und im neuen Modus erneut zu gewähren.