Administración de los permisos entre cuentas mediante AWS Glue y Lake Formation

Es posible otorgar acceso entre cuentas a los recursos del Catálogo de datos y a los datos subyacentes mediante AWS Glue o AWS Lake Formation.

En AWS Glue, se conceden permisos entre cuentas mediante la creación o actualización de una política de recursos del Catálogo de datos. En Lake Formation, concede permisos entre cuentas mediante el modelo de permisos de GRANT/REVOKE de Lake Formation y la operación de la API Grant Permissions.

sugerencia

Recomendamos confiar solo en los permisos de Lake Formation para proteger su lago de datos.

Puede ver las subvenciones entre cuentas de Lake Formation mediante la consola Lake Formation o la consola AWS Resource Access Manager (AWS RAM). Sin embargo, esas páginas de la consola no muestran los permisos entre cuentas otorgados por la política de recursos del Catálogo de datos de AWS Glue. Del mismo modo, puede ver las concesiones entre cuentas en la política de recursos del Catálogo de datos mediante la página Configuración de la consola de AWS Glue, pero esa página no muestra los permisos entre cuentas concedidos mediante Lake Formation.

Para garantizar que no pierda ninguna subvención al consultar y gestionar los permisos entre cuentas, Lake Formation y AWS Glue requieren que haga lo siguiente para confirmar que conoce y permite concesiones entre cuentas por Lake Formation y por AWS Glue.

Al conceder permisos entre cuentas usando la política de recursos del Catálogo de datos de AWS Glue

Si su cuenta (cuenta de cedente o cuenta de productor) no ha realizado concesiones entre cuentas que utilicen AWS RAM para compartir los recursos, puede guardar una política de recursos del Catálogo de datos de la forma habitual en AWS Glue. Sin embargo, si ya se han concedido concesiones que implican el uso compartido de AWS RAM recursos, debe realizar una de las siguientes acciones para garantizar que la política de recursos se guarde correctamente:

Cuando guarde la política de recursos en la página Configuración de la consola AWS Glue, esta emitirá una alerta indicando que los permisos de la política se sumarán a cualquier permiso concedido mediante la consola Lake Formation. Debe elegir Continuar para guardar la política.
Al guardar la política de recursos mediante la operación de la API glue:PutResourcePolicy, debe establecer el campo EnableHybrid en 'TRUE' (tipo = cadena).

Para actualizar una política de recursos existente, utilice primero la operación de glue:GetResourcePolicy API para recuperar la política actual y, a continuación, modifíquela según sea necesario antes de realizar la llamadaglue:PutResourcePolicy.

nota
Al crear políticas de AWS Glue recursos para el acceso entre cuentas, concede solo los permisos mínimos necesarios para tu caso de uso específico.

Para obtener más información, consulte PutResourcePolicy Action (Python: put_resource_policy) en la Guía para desarrolladores.AWS Glue

Al conceder permisos entre cuentas mediante el método de recursos con nombre de Lake Formation

Si no existe una política de recursos del Catálogo de datos en su cuenta (cuenta de productor), las concesiones entre cuentas de Lake Formation que efectúe procederán como de costumbre. Sin embargo, si existe una política de recursos del Catálogo de datos, debe agregarle la siguiente instrucción para que las concesiones entre cuentas se hagan correctamente si se sigue el método de recurso indicado. <region>Sustitúyalo por un nombre de región válido y <account-id> por tu ID de cuenta (ID de AWS cuenta de productor).


    {
      "Effect": "Allow",
      "Action": [
        "glue:ShareResource"
      ],
      "Principal": {"Service": [
        "ram.amazonaws.com"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:<account-id>:table/*/*",
        "arn:aws:glue:<region>:<account-id>:database/*",
        "arn:aws:glue:<region>:<account-id>:catalog"
      ]
    }

Sin esta declaración adicional, la subvención de Lake Formation es válida, pero queda bloqueada y la cuenta receptora no puede acceder al recurso otorgado. AWS RAM

importante

Si sigue el método de control de acceso basado en etiquetas (LF-TBAC) de Lake Formation para hacer concesiones entre cuentas, debe contar con una política de recursos del Catálogo de datos que incluya al menos los permisos especificados en Requisitos previos.

Consulte también:

Control de acceso a los metadatos (para comparar el método de recursos con nombre frente al método de control de acceso basado en etiquetas (LF-TBAC) de Lake Formation).
Visualización de tablas y bases de datos compartidas del Catálogo de datos
Trabajo con la configuración del Catálogo de datos en la consola de AWS Glue en la Guía para desarrolladores de AWS Glue
Concesión de acceso entre cuentas en la Guía para desarrolladores de AWS Glue (para ver ejemplos de las políticas de recursos del Catálogo de datos)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Registro multicuenta CloudTrail

Visualización de todas las subvenciones entre cuentas mediante la operación de la API GetResourceShares