Gestion des autorisations entre comptes à l'aide des deux AWS Glue et de Lake Formation

Il est possible d'accorder un accès entre comptes aux ressources du catalogue de données et aux données sous-jacentes en utilisant l'un AWS Glue ou AWS Lake Formation l'autre des deux.

DansAWS Glue, vous accordez des autorisations entre comptes en créant ou en mettant à jour une politique de ressources du catalogue de données. Dans Lake Formation, vous accordez des autorisations entre comptes en utilisant le modèle d'GRANT/REVOKEautorisations Lake Formation et le fonctionnement de l'Grant PermissionsAPI.

Astuce

Nous vous recommandons de vous fier uniquement aux autorisations de Lake Formation pour sécuriser votre lac de données.

Vous pouvez consulter les subventions multicomptes de Lake Formation à l'aide de la console Lake Formation ou de la console AWS Resource Access Manager (AWS RAM). Toutefois, ces pages de console n'affichent pas les autorisations entre comptes accordées par la politique de ressources du catalogue de AWS Glue données. De même, vous pouvez consulter les autorisations entre comptes dans la politique de ressources du catalogue de données à l'aide de la page Paramètres de la AWS Glue console, mais cette page n'affiche pas les autorisations entre comptes accordées via Lake Formation.

Pour vous assurer de ne manquer aucune subvention lorsque vous consultez et gérez les autorisations entre comptes, Lake Formation vous AWS Glue demande d'effectuer les actions suivantes pour indiquer que vous êtes au courant et que vous autorisez les subventions croisées par Lake Formation et. AWS Glue

Lorsque vous accordez des autorisations entre comptes à l'aide de la politique de ressources du catalogue de AWS Glue données

Si votre compte (compte du donateur ou compte du producteur) n'a accordé aucune subvention entre comptes destinée AWS RAM à partager les ressources, vous pouvez enregistrer une politique de ressources du catalogue de données comme d'habitude dans. AWS Glue Toutefois, si des subventions impliquant AWS RAM des partages de ressources ont déjà été accordées, vous devez effectuer l'une des opérations suivantes pour garantir le succès de l'enregistrement de la politique de ressources :

• Lorsque vous enregistrez la politique de ressources sur la page Paramètres de la AWS Glue console, celle-ci émet une alerte indiquant que les autorisations définies dans la politique s'ajouteront à celles accordées à l'aide de la console Lake Formation. Vous devez choisir Proceed pour enregistrer la politique.

• Lorsque vous enregistrez la politique de ressources à l'aide de l'opération glue:PutResourcePolicy API, vous devez définir le EnableHybrid champ sur TRUE « » (type = chaîne). L'exemple de code suivant montre comment procéder en Python.

  import boto3
  import json
  
  REGION = 'us-east-2'
  PRODUCER_ACCOUNT_ID = '123456789012'
  CONSUMER_ACCOUNT_IDs = ['111122223333']
  
  glue = glue_client = boto3.client('glue')
  
  policy = {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "Cataloguers",
              "Effect": "Allow",
              "Action": [
                  "glue:*"
              ],
              "Principal": {
                  "AWS": CONSUMER_ACCOUNT_IDs
              },
              "Resource": [
                  f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:catalog",
                  f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:database/*",
                  f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:table/*/*"
              ]
          }
      ]
  }
  
  policy = json.dumps(policy)
  glue.put_resource_policy(PolicyInJson=policy, EnableHybrid='TRUE')
  

  Pour plus d'informations, consultez PutResourcePolicy Action (Python : put_resource_policy) dans le manuel du développeur.AWS Glue

Lorsque vous accordez des autorisations entre comptes à l'aide de la méthode des ressources nommées de Lake Formation

S'il n'y a aucune politique de ressources du catalogue de données sur votre compte (compte producteur), les subventions croisées de Lake Formation que vous accordez se poursuivent comme d'habitude. Toutefois, s'il existe une politique de ressources pour le catalogue de données, vous devez y ajouter l'instruction suivante pour permettre à vos subventions entre comptes de réussir si elles sont accordées avec la méthode de ressource nommée. <region>Remplacez-le par un nom de région valide et <account-id>par votre numéro de AWS compte (numéro de compte producteur).

    {
      "Effect": "Allow",
      "Action": [
        "glue:ShareResource"
      ],
      "Principal": {"Service": [
        "ram.amazonaws.com"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:<account-id>:table/*/*",
        "arn:aws:glue:<region>:<account-id>:database/*",
        "arn:aws:glue:<region>:<account-id>:catalog"
      ]
    }

Sans cette déclaration supplémentaire, la subvention Lake Formation est acceptée, mais elle est bloquée et le compte du bénéficiaire ne peut pas accéder à la ressource accordée. AWS RAM

Important

Lorsque vous utilisez la méthode de contrôle d'accès basé sur les balises Lake Formation (LF-TBAC) pour accorder des autorisations entre comptes, vous devez disposer d'une politique de ressources du catalogue de données avec au moins les autorisations spécifiées dans. Prérequis

Voir aussi :

• Contrôle d'accès aux métadonnées(pour une discussion sur la méthode des ressources nommées par rapport à la méthode de contrôle d'accès basée sur les balises Lake Formation (LF-TBAC)).

• Affichage des tables et des bases de données partagées du catalogue de données

• Utilisation des paramètres du catalogue de données sur la AWS Glue console dans le manuel du AWS Glue développeur

• Octroi d'un accès entre comptes dans le guide du AWS Glue développeur (pour des exemples de politiques relatives aux ressources du catalogue de données)