Compartir un AWS Glue recurso mediante el modo de acceso híbrido

Comparta datos con otra persona Cuenta de AWS o con un director en otra persona Cuenta de AWS haciendo cumplir los permisos de Lake Formation sin interrumpir el acceso basado en IAM de los usuarios existentes del Catálogo de Datos.

Descripción del escenario: la cuenta del productor tiene una base de datos del catálogo de datos cuyo acceso está controlado mediante las principales políticas y AWS Glue acciones de IAM para Amazon S3. La ubicación de los datos de la base de datos no está registrada en Lake Formation. De forma predeterminada, el grupo IAMAllowedPrincipals tiene permisos Super sobre la base de datos y todas sus tablas.

Conceder permisos entre cuentas de Lake Formation en modo de acceso híbrido

1. Configuración de una cuenta de productor

   1. Inicie sesión en la consola de Lake Formation con un rol que tenga permiso lakeformation:PutDataLakeSettings de IAM.

   2. Vaya a la configuración del Catálogo de datos y seleccione Version 4 para la configuración de la versión entre cuentas.

      Si utiliza la versión 1 o 2, consulte las instrucciones de Actualización de los ajustes de la versión entre cuentas para compartir datos para actualizar a la versión 3.

      No es necesario hacer cambios en la política de permisos para actualizar de la versión 3 a la 4.

   3. Registre la ubicación en Amazon S3 de la base de datos o tabla que planea compartir en el modo de acceso híbrido.

   4. Compruebe que existe permiso Super para el grupo IAMAllowedPrincipals en las bases de datos y tablas en las que registró la ubicación de datos en modo de acceso híbrido en el paso anterior.

   5. Otorgue permisos de Lake Formation a AWS organizaciones, unidades organizativas (OUs) o directamente con un director de IAM en otra cuenta.

   6. Si concede los permisos directamente a una entidad principal de IAM, opte por que la entidad principal de la cuenta de consumidor aplique los permisos de Lake Formation en el modo de acceso híbrido activando la opción Hacer efectivos inmediatamente los permisos de Lake Formation.

      Si vas a conceder permisos multicuenta a otra AWS cuenta, al activar la cuenta, los permisos de Lake Formation solo se aplican a los administradores de esa cuenta. El administrador del lago de datos de la cuenta de destinatario tiene que aplicar en cascada los permisos y optar por las entidades principales de la cuenta para hacer cumplir los permisos de Lake Formation para los recursos compartidos que están en modo de acceso híbrido.

      Si elige la opción Recursos emparejados por etiquetas LF para conceder permisos entre cuentas, deberá completar primero el paso de concesión de permisos. Puede optar por el modo de acceso híbrido para entidades principales y recursos como un paso separado, seleccionando el modo de acceso híbrido en Permisos en la barra de navegación izquierda de la consola de Lake Formation. Luego, seleccione Agregar para agregar los recursos y las entidades principales a los que desea aplicar los permisos de Lake Formation.

2. Configuración de una cuenta de consumidor

   1. Inicie sesión en la consola de Lake Formation https://console.aws.amazon.com/lakeformation/como administrador de un lago de datos.

   2. Ve a https://console.aws.amazon.com/ram y acepta la invitación a compartir recursos. La pestaña Compartido conmigo de la AWS RAM consola muestra la base de datos y las tablas que se comparten con su cuenta.

   3. Cree un enlace de recursos a la base de datos o tabla compartidas en Lake Formation.

   4. Conceda permiso Describe en el enlace de recursos y permiso Grant on target (para el recurso compartido original) a las entidades principales de IAM de su cuenta (de consumidor).

   5. Conceda a las entidades principales de su cuenta permisos de Lake Formation en la base de datos o tabla compartida. Indique a las entidades principales y a los recursos que apliquen los permisos de Lake Formation en el modo de acceso híbrido activando la opción Hacer efectivos inmediatamente los permisos de Lake Formation.

   6. Pruebe los permisos de Lake Formation de la entidad principal ejecutando consultas Athena de ejemplo. Pruebe el acceso actual de sus AWS Glue usuarios con las políticas principales de IAM para Amazon S3 y AWS Glue sus acciones.

      (Opcional) Elimine la política de bucket de Amazon S3 para el acceso a los datos y las políticas principales de IAM para AWS Glue y el acceso a los datos de Amazon S3 para las entidades principales que configuró para usar los permisos de Lake Formation.