Prérequis - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prérequis

Avant que votre AWS compte puisse partager les ressources du catalogue de données (bases de données et tables) avec un autre compte ou des principaux d'un autre compte, et avant de pouvoir accéder aux ressources partagées avec votre compte, les conditions préalables suivantes doivent être remplies.

Exigences générales en matière de partage de données entre comptes

  • Pour partager des bases de données et des tables du catalogue de données en mode d'accès hybride, vous devez mettre à jour les paramètres de version entre comptes vers la version 4.

  • Avant d'accorder des autorisations entre comptes sur une ressource de catalogue de données, vous devez révoquer toutes les autorisations de Lake Formation accordées au IAMAllowedPrincipals groupe pour cette ressource. Si le principal appelant dispose d'autorisations intercomptes pour accéder à une ressource et que IAMAllowedPrincipals cette autorisation existe sur la ressource, Lake Formation lance la requêteAccessDeniedException.

    Cette exigence s'applique uniquement lorsque vous enregistrez l'emplacement des données sous-jacentes en mode Lake Formation. Si vous enregistrez l'emplacement des données en mode hybride, les autorisations de IAMAllowedPrincipals groupe peuvent exister sur la base de données ou la table partagée.

  • Pour les bases de données contenant des tables que vous souhaitez partager, vous devez empêcher que les nouvelles tables soient associées par défaut Super àIAMAllowedPrincipals. Sur la console Lake Formation, modifiez la base de données et désactivez Utiliser uniquement le contrôle d'accès IAM pour les nouvelles tables de cette base de données ou entrez la AWS CLI commande suivante en la database remplaçant par le nom de la base de données. Si l'emplacement des données sous-jacent est enregistré en mode d'accès hybride, il n'est pas nécessaire de modifier ce paramètre par défaut. En mode d'accès hybride, Lake Formation vous permet d'appliquer de manière sélective les autorisations Lake Formation et les politiques d'autorisations IAM pour Amazon S3 et AWS Glue sur la même ressource.

    
aws glue update-database --name database --database-input '{"Name":"database","CreateTableDefaultPermissions":[]}'

  • Pour accorder des autorisations entre comptes, le concédant doit disposer des autorisations AWS Identity and Access Management (IAM) requises sur et sur le AWS Glue service. AWS RAM La politique AWS gérée AWSLakeFormationCrossAccountManager accorde les autorisations requises.

    Les administrateurs de lacs de données des comptes recevant des partages de ressources par le biais de ces comptes AWS RAM doivent appliquer la politique supplémentaire suivante. Il permet à l'administrateur d'accepter AWS RAM des invitations de partage de ressources. Cela permet également à l'administrateur d'activer le partage des ressources avec les organisations.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:RejectResourceShareInvitation",
                "ec2:DescribeAvailabilityZones",
                "ram:EnableSharingWithAwsOrganization"
            ],
            "Resource": "*"
        }
    ]
}

  • Si vous souhaitez partager des ressources du catalogue de données avec AWS Organizations ou des unités organisationnelles, le partage avec les organisations doit être activé dans AWS RAM.

    Pour plus d'informations sur la manière d'activer le partage avec les organisations, voir Activer le partage avec AWS les organisations dans le Guide de AWS RAM l'utilisateur.

    Vous devez être ram:EnableSharingWithAwsOrganization autorisé à activer le partage avec les organisations.

  • Pour partager des ressources directement avec le principal IAM d'un autre compte, vous devez mettre à jour les paramètres de version entre comptes vers la version 3. Ce paramètre est disponible sur la page des paramètres du catalogue de données. Si vous utilisez la version 1, consultez les instructions pour mettre à jour le paramètreMise à jour des paramètres de version de partage de données entre comptes.

  • Vous ne pouvez pas partager les ressources du catalogue de données chiffrées avec une clé gérée par le AWS Glue service avec un autre compte. Vous ne pouvez partager que les ressources du catalogue de données chiffrées avec la clé de chiffrement du client, et le compte recevant le partage des ressources doit disposer des autorisations sur la clé de chiffrement du catalogue de données pour déchiffrer les objets.

Partage de données entre comptes selon les exigences du LF-TBAC

  • Pour partager les ressources du catalogue de données AWS Organizations et les unités organisationnelles (UO), vous devez mettre à jour les paramètres de version multi-comptes vers la version 3.

  • Pour partager les ressources du catalogue de données avec la version 3 des paramètres de version entre comptes, le concédant doit disposer des autorisations IAM définies dans la politique AWS AWSLakeFormationCrossAccountManager gérée de votre compte.

  • Si vous utilisez la version 1 ou la version 2 des paramètres de version entre comptes, vous devez disposer d'une politique de ressources du catalogue de données (glue:PutResourcePolicy) qui active le LF-TBAC. Pour plus d’informations, consultez Gestion des autorisations entre comptes à l'aide des deux AWS Glue et de Lake Formation.

  • Si vous utilisez actuellement une politique de ressources du catalogue de AWS Glue données pour partager des ressources et que vous souhaitez accorder des autorisations entre comptes à l'aide de la version 3 des paramètres de version entre comptes, vous devez ajouter l'glue:ShareResourceautorisation dans les paramètres du catalogue de données à l'aide de l'opération d'glue:PutResourcePolicyAPI, comme indiqué dans la Gestion des autorisations entre comptes à l'aide des deux AWS Glue et de Lake Formation section. Cette politique n'est pas requise si votre compte n'a accordé aucune autorisation entre comptes en utilisant la politique de ressources du catalogue de AWS Glue données (glue:PutResourcePolicyautorisation d'utilisation des versions 1 et 2) pour accorder un accès entre comptes. 

    {
      "Effect": "Allow",
      "Action": [
        "glue:ShareResource"
      ],
      "Principal": {"Service": [
        "ram.amazonaws.com"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:<account-id>:table/*/*",
        "arn:aws:glue:<region>:<account-id>:database/*",
        "arn:aws:glue:<region>:<account-id>:catalog"
      ]
    }

  • Si votre compte a effectué des partages entre comptes en utilisant la politique de ressources du catalogue de AWS Glue données et que vous utilisez actuellement la méthode des ressources nommées ou le LF-TBAC avec la version 3 des paramètres entre comptes pour partager des ressources, qui utilise AWS RAM pour partager des ressources, vous devez définir l'EnableHybridargument sur 'true' lorsque vous appelez l'opération d'API. glue:PutResourcePolicy Pour plus d’informations, consultez Gestion des autorisations entre comptes à l'aide des deux AWS Glue et de Lake Formation.

Configuration requise pour chaque compte accédant à la ressource partagée

  • Si vous partagez des ressources avec Comptes AWS, au moins un utilisateur du compte client doit être un administrateur de data lake pour consulter les ressources partagées. Pour plus d'informations sur la création d'un administrateur de lac de données, consultezCréation d'un administrateur de lac de données.

    L'administrateur du lac de données peut accorder des autorisations de Lake Formation sur les ressources partagées aux autres principaux du compte. Les autres principaux ne peuvent pas accéder aux ressources partagées tant que l'administrateur du lac de données ne leur a pas accordé d'autorisations sur les ressources.

  • Les services intégrés tels qu'Athena et Redshift Spectrum nécessitent des liens de ressources pour pouvoir inclure des ressources partagées dans les requêtes. Les directeurs doivent créer un lien de ressource dans leur catalogue de données vers une ressource partagée par une autre Compte AWS personne. Pour plus d'informations sur les liens vers des ressources, consultezMode de fonctionnement des liens des ressources dans Lake Formation.

  • Lorsqu'une ressource est partagée directement avec un principal IAM, pour interroger la table à l'aide d'Athena, le principal doit créer un lien vers une ressource. Pour créer un lien vers une ressource, le directeur a besoin de la Lake Formation CREATE_TABLE glue:CreateTable ou CREATE_DATABASE de l'autorisation glue:CreateDatabase IAM.

    Si le compte producteur partage une table différente dans la même base de données avec le même principal ou un autre principal, ce principal peut immédiatement interroger la table.

Note

Pour l'administrateur du lac de données et pour les principaux auxquels l'administrateur du lac de données a accordé des autorisations, les ressources partagées apparaissent dans le catalogue de données comme s'il s'agissait de ressources locales (détenues). Les tâches d'extraction, de transformation et de chargement (ETL) peuvent accéder aux données sous-jacentes des ressources partagées.

Pour les ressources partagées, les pages Tables et Bases de données de la console Lake Formation affichent l'ID de compte du propriétaire.

Lorsque les données sous-jacentes d'une ressource partagée sont accessibles, les événements du CloudTrail journal sont générés à la fois dans le compte du destinataire de la ressource partagée et dans le compte du propriétaire de la ressource. Les CloudTrail événements peuvent contenir l'ARN du principal qui a accédé aux données, mais uniquement si le compte du destinataire choisit d'inclure l'ARN principal dans les journaux. Pour plus d’informations, consultez Journalisation entre comptes CloudTrail .