Actualización de los ajustes de la versión entre cuentas para compartir datos - AWS Lake Formation
Principales diferencias en las configuraciones de las versiones entre cuentasOptimice los AWS RAM recursos compartidosHabilite el AWS RAM uso compartido a través de TBAC o comparta los recursos directamente con los directoresPara habilitar la nueva versión

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Actualización de los ajustes de la versión entre cuentas para compartir datos

De vez en cuando, AWS Lake Formation actualiza la configuración del intercambio de datos entre cuentas para distinguir los cambios realizados en el AWS RAM uso y para admitir las actualizaciones realizadas en la función de intercambio de datos entre cuentas. Al hacer esto, Lake Formation crea una nueva versión de la Configuración de la versión entre cuentas.

Principales diferencias en las configuraciones de las versiones entre cuentas

Para obtener más información sobre cómo funciona el intercambio de datos entre cuentas en Configuraciones de la versión entre cuentas diferentes, consulte las secciones siguientes.

nota

Para compartir datos con otra cuenta, el concedente debe haber AWSLakeFormationCrossAccountManager administrado los permisos de la política de IAM. Es un requisito previo para todas las versiones.

Actualizar la Configuración de la versión entre cuentas no afecta a los permisos que el destinatario tiene en los recursos compartidos. Esto se aplica al actualizar de la versión 1 a la versión 2, de la versión 2 a la versión 3 y de la versión 1 a la versión 3. Consulte las consideraciones que se indican a continuación al actualizar las versiones.

Versión 1

Método de recurso con nombre asignado: asigna cada permiso de Lake Formation multicuenta otorgado a un AWS RAM recurso compartido. El usuario (rol de concedente o entidad principal) no requiere permisos adicionales.

Método LF-TBAC: las concesiones de permisos entre cuentas de Lake Formation no AWS RAM se utilizan para compartir datos. Debe tener permiso de glue:PutResourcePolicy.

Ventajas de actualizar las versiones: versión inicial, no aplicable.

Consideraciones al actualizar las versiones: versión inicial, no aplicable

Versión 2

Método de recurso con nombre asignado: optimiza el número de AWS RAM recursos compartidos al asignar varias concesiones de permisos entre cuentas a un recurso compartido. AWS RAM El usuario no necesita permisos adicionales.

Método LF-TBAC: las concesiones de permisos entre cuentas de Lake Formation no AWS RAM se utilizan para compartir datos. Debe tener permiso de glue:PutResourcePolicy.

Ventajas de la actualización de las versiones: configuración escalable para varias cuentas mediante una utilización óptima de la capacidad. AWS RAM

Consideraciones a la hora de actualizar las versiones: Los usuarios que deseen conceder permisos de Lake Formation para varias cuentas deben disponer de los permisos de la política AWSLakeFormationCrossAccountManager AWS gestionada. De lo contrario, debe tener los permisos ram:AssociateResourceShare y ram:DisassociateResourceShare necesarios para compartir correctamente los recursos con otra cuenta.

Versión 3

Método de recurso con nombre asignado: optimiza la cantidad de AWS RAM recursos compartidos al asignar varias concesiones de permisos entre cuentas a un AWS RAM recurso compartido. El usuario no necesita permisos adicionales.

Método LF-TBAC: Lake Formation utiliza AWS RAM subvenciones entre cuentas. El usuario debe añadir la declaración glue: ShareResource al permiso. glue:PutResourcePolicy El destinatario debe aceptar las invitaciones para compartir recursos de AWS RAM.

Ventajas de actualizar las versiones: admite las funciones siguientes:

  • Permite compartir recursos explícitamente con una entidad principal de IAM en una cuenta externa.

    Para obtener más información, consulte Concesión y revocación de permisos sobre los recursos del Catálogo de datos.

  • Permite compartir entre cuentas utilizando el método LF-TBAC a organizaciones o unidades organizativas (UO).

  • Elimina la sobrecarga que supone mantener AWS Glue políticas adicionales para las subvenciones entre cuentas.

Consideraciones a la hora de actualizar las versiones: al utilizar el método LF-TBAC para compartir recursos, si el otorgante utiliza una versión anterior a la versión 3 y el destinatario utiliza la versión 3 o superior, el otorgante recibe el siguiente mensaje de error: «Solicitud de concesión multicuentas no válida». La cuenta de consumidor ha optado por utilizar la versión entre cuentas: v3. Actualice CrossAccountVersion DataLakeSetting a la versión mínima v3 (servicio: AmazonDataCatalog; código de estado: 400; código de error:)». InvalidInputException Sin embargo, si el otorgante utiliza la versión 3 y el destinatario utiliza la versión 1 o la versión 2, las subvenciones entre cuentas con etiquetas LF se tramitan correctamente.

Las subvenciones multicuentas realizadas mediante el método de recurso designado son compatibles con las distintas versiones. Aunque la cuenta del otorgante utilice una versión anterior (versión 1 o 2) y la cuenta del destinatario utilice una versión más reciente (versión 3 o superior), la funcionalidad de acceso multicuenta funciona sin problemas ni errores de compatibilidad.

Para compartir recursos directamente con entidades principales de IAM en otra cuenta, solo el concedente debe utilizar la versión 3.

Las concesiones entre cuentas efectuadas con el método LF-TBAC requieren que los usuarios tengan una política de recursos AWS Glue Data Catalog en la cuenta. Al actualizar a la versión 3, el LF-TBAC concede los usos AWS RAM. Para permitir que AWS RAM las subvenciones multicuenta tengan éxito, debe añadir la glue:ShareResource declaración a las políticas de recursos del catálogo de datos existentes, tal y como se muestra en la sección. Administración de los permisos entre cuentas mediante AWS Glue y Lake Formation

Versión 4

El concedente necesita la versión 4 o superior para compartir los recursos del Catálogo de datos en el modo de acceso híbrido.

Optimice los AWS RAM recursos compartidos

Las nuevas versiones (versión 2 y versiones posteriores) de las subvenciones multicuentas utilizan de manera óptima la AWS RAM capacidad para maximizar el uso multicuenta. Al compartir un recurso con un director externo Cuenta de AWS o de IAM, Lake Formation puede crear un nuevo recurso compartido o asociar el recurso con un recurso compartido existente. Al asociarse a los recursos compartidos existentes, Lake Formation reduce el número de invitaciones a compartir recursos que un consumidor tiene que aceptar.

Habilite el AWS RAM uso compartido a través de TBAC o comparta los recursos directamente con los directores

Para compartir recursos directamente con entidades principales de IAM en otra cuenta o para habilitar los recursos compartidos entre cuentas TBAC a organizaciones o unidades organizativas, debe actualizar la Configuración de la versión entre cuentas a la versión 3. Para obtener más información sobre los límites de AWS RAM recursos, consulte. Prácticas recomendadas y consideraciones para uso compartido de datos entre cuentas

Permisos necesarios para actualizar la configuración de las versiones entre cuentas

Si un concedente de permisos entre cuentas tiene permisos de política de IAM gestionados por AWSLakeFormationCrossAccountManager, no se requiere ninguna configuración de permisos adicional para el rol o la entidad principal del concedente de permisos entre cuentas. Sin embargo, si el concedente entre cuentas no está utilizando la política administrada, entonces el rol de concedente o entidad principal debe tener concedidos los siguientes permisos de IAM para que la nueva versión de la concesión entre cuentas tenga éxito.

  
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
         "ram:AssociateResourceShare",
         "ram:DisassociateResourceShare",
         "ram:GetResourceShares"
       ],
     "Resource": "*",
     "Condition": {
       "StringLike": {
         "ram:ResourceShareName": "LakeFormation*"
        }
      }
    }
  ]
}

Para habilitar la nueva versión

Siga estos pasos para actualizar la configuración de la versión multicuenta a través de la AWS Lake Formation consola o el AWS CLI.

Console

  1. Elija Versión 2, Versión 3 o Versión 4 en la Configuración de la versión entre cuentas en la página Configuración del Catálogo de datos. Si selecciona Versión 1, Lake Formation utilizará el modo de recursos compartidos predeterminado.

  2. Seleccione Guardar.

AWS Command Line Interface (AWS CLI)

Utilice el put-data-lake-settings AWS CLI comando para configurar el CROSS_ACCOUNT_VERSION parámetro. Los valores aceptados son 1, 2, 3 y 4.

aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
    "DataLakeAdmins": [
        {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/test"
        }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "Parameters": {
        "CROSS_ACCOUNT_VERSION": "3"
    }
}
importante

En cuanto elija la Versión 2 o la Versión 3, todas las nuevas concesiones de recursos con nombre pasarán por el nuevo modo de concesión entre cuentas. Para aprovechar al máximo la AWS RAM capacidad de sus acciones multicuenta existentes, le recomendamos que revoque las concesiones que se concedieron con la versión anterior y las vuelva a conceder en el nuevo modo.