Compartir un AWS Glue recurso mediante el modo de acceso híbrido - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Compartir un AWS Glue recurso mediante el modo de acceso híbrido

Comparta datos con otra persona Cuenta de AWS o con un director en otra persona Cuenta de AWS haciendo cumplir los permisos de Lake Formation sin interrumpir el acceso IAM basado en los usuarios existentes del Catálogo de Datos.

Descripción del escenario: la cuenta del productor tiene una base de datos del catálogo de datos cuyo acceso está controlado mediante las IAM principales políticas y AWS Glue acciones de Amazon S3. La ubicación de los datos de la base de datos no está registrada en Lake Formation. El IAMAllowedPrincipals grupo, de forma predeterminada, tiene Super permisos en la base de datos y en todas sus tablas.

Conceder permisos entre cuentas de Lake Formation en modo de acceso híbrido
  1. Configuración de una cuenta de productor
    1. Inicie sesión en la consola de Lake Formation con un rol que tenga lakeformation:PutDataLakeSettings IAM permiso.

    2. Vaya a la configuración del Catálogo de datos y seleccione Version 4 para la configuración de la versión entre cuentas.

      Si utiliza la versión 1 o 2, consulte las instrucciones de Actualización de los ajustes de la versión entre cuentas para compartir datos para actualizar a la versión 3.

      No es necesario hacer cambios en la política de permisos para actualizar de la versión 3 a la 4.

    3. Registre la ubicación en Amazon S3 de la base de datos o tabla que planea compartir en el modo de acceso híbrido.

    4. Compruebe que existe permiso Super para el grupo IAMAllowedPrincipals en las bases de datos y tablas en las que registró la ubicación de datos en modo de acceso híbrido en el paso anterior.

    5. Otorga permisos de Lake Formation a AWS organizaciones, unidades organizativas (OUs) o directamente con un IAM director de otra cuenta.

    6. Si vas a conceder permisos directamente a un IAM director, selecciona el principal de la cuenta de consumidor para hacer cumplir los permisos de Lake Formation en el modo de acceso híbrido activando la opción Hacer que los permisos de Lake Formation entren en vigor inmediatamente.

      Si vas a conceder permisos multicuenta a otra AWS cuenta, al activar la cuenta, los permisos de Lake Formation solo se aplican a los administradores de esa cuenta. El administrador del lago de datos de la cuenta de destinatario tiene que aplicar en cascada los permisos y optar por las entidades principales de la cuenta para hacer cumplir los permisos de Lake Formation para los recursos compartidos que están en modo de acceso híbrido.

      Si elige la opción Recursos emparejados por etiquetas LF para conceder permisos entre cuentas, deberá completar primero el paso de concesión de permisos. Puede optar por el modo de acceso híbrido para entidades principales y recursos como un paso separado, seleccionando el modo de acceso híbrido en Permisos en la barra de navegación izquierda de la consola de Lake Formation. Luego, seleccione Agregar para agregar los recursos y las entidades principales a los que desea aplicar los permisos de Lake Formation.

  2. Configuración de una cuenta de consumidor
    1. Inicie sesión en la consola de Lake Formation https://console.aws.amazon.com/lakeformation/como administrador de un lago de datos.

    2. Ve a https://console.aws.amazon.com/ram y acepta la invitación a compartir recursos. La pestaña Compartido conmigo de la AWS RAM consola muestra la base de datos y las tablas que se comparten con su cuenta.

    3. Cree un enlace de recursos a la base de datos o tabla compartidas en Lake Formation.

    4. Concede Describe permiso en el enlace del recurso y Grant on target permiso (en el recurso compartido original) a IAM los principales de tu cuenta (de consumidor).

    5. Conceda a las entidades principales de su cuenta permisos de Lake Formation en la base de datos o tabla compartida. Indique a las entidades principales y a los recursos que apliquen los permisos de Lake Formation en el modo de acceso híbrido activando la opción Hacer efectivos inmediatamente los permisos de Lake Formation.

    6. Pruebe los permisos de Lake Formation de la entidad principal ejecutando consultas Athena de ejemplo. Pruebe el acceso actual de sus AWS Glue usuarios con las IAM principales políticas y AWS Glue acciones de Amazon S3.

      (Opcional) Elimine la política de bucket de Amazon S3 para el acceso a los datos y las políticas IAM principales para AWS Glue el acceso a los datos de Amazon S3 para las entidades principales que configuró para usar los permisos de Lake Formation.