Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Prasyarat
Sebelum AWS akun Anda dapat berbagi sumber daya Katalog Data (database dan tabel) dengan akun atau kepala sekolah lain di akun lain, dan sebelum Anda dapat mengakses sumber daya yang dibagikan dengan akun Anda, prasyarat berikut harus dipenuhi.
Persyaratan berbagi data lintas akun umum
-
Untuk berbagi database dan tabel Katalog Data dalam mode akses hybrid, Anda perlu memperbarui pengaturan versi Cross account ke Versi 4.
-
Sebelum memberikan izin lintas akun pada sumber daya Katalog Data, Anda harus mencabut semua izin Lake Formation dari
IAMAllowedPrincipalsgrup untuk sumber daya tersebut. Jika prinsipal panggilan memiliki izin lintas akun untuk mengakses sumber daya danIAMAllowedPrincipalsizin ada di sumber daya, maka Lake Formation melemparAccessDeniedException.Persyaratan ini hanya berlaku ketika Anda mendaftarkan lokasi data yang mendasarinya dalam mode Lake Formation. Jika Anda mendaftarkan lokasi data dalam mode hibrida, izin
IAMAllowedPrincipalsgrup dapat ada di database atau tabel bersama. -
Untuk database yang berisi tabel yang ingin Anda bagikan, Anda harus mencegah tabel baru memiliki hibah default
SupertoIAMAllowedPrincipals. Pada konsol Lake Formation, edit database dan matikan Gunakan hanya kontrol akses IAM untuk tabel baru dalam database ini atau masukkan AWS CLI perintah berikut, gantidatabasedengan nama database. Jika lokasi data yang mendasari terdaftar dalam mode akses hybrid, Anda tidak perlu mengubah pengaturan default ini. Dalam mode akses hybrid, Lake Formation memungkinkan Anda untuk secara selektif menerapkan izin Lake Formation dan kebijakan izin IAM untuk Amazon S3 dan pada sumber daya yang sama. AWS Glueaws glue update-database --namedatabase--database-input '{"Name":"database","CreateTableDefaultPermissions":[]}' Untuk memberikan izin lintas akun, pemberi harus memiliki izin dan layanan yang diperlukan AWS Identity and Access Management (IAM). AWS Glue AWS RAM Kebijakan AWS terkelola
AWSLakeFormationCrossAccountManagermemberikan izin yang diperlukan.Administrator data lake di akun yang menerima pembagian sumber daya menggunakan AWS RAM harus memiliki kebijakan tambahan berikut. Hal ini memungkinkan administrator untuk menerima undangan berbagi AWS RAM sumber daya. Ini juga memungkinkan administrator untuk mengaktifkan berbagi sumber daya dengan organisasi.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ram:AcceptResourceShareInvitation", "ram:RejectResourceShareInvitation", "ec2:DescribeAvailabilityZones", "ram:EnableSharingWithAwsOrganization" ], "Resource": "*" } ] }-
Jika Anda ingin berbagi sumber daya Katalog Data dengan AWS Organizations atau unit organisasi, berbagi dengan organisasi harus diaktifkan AWS RAM.
Untuk informasi tentang cara mengaktifkan berbagi dengan organisasi, lihat Mengaktifkan berbagi dengan AWS organisasi di Panduan AWS RAM Pengguna.
Anda harus memiliki
ram:EnableSharingWithAwsOrganizationizin untuk mengaktifkan berbagi dengan organisasi. -
Untuk berbagi sumber daya secara langsung dengan prinsipal IAM di akun lain, Anda perlu memperbarui pengaturan versi Cross account ke Versi 3. Pengaturan ini tersedia di halaman Pengaturan katalog data. Jika Anda menggunakan Versi 1, lihat petunjuk untuk memperbarui pengaturanMemperbarui pengaturan versi berbagi data lintas akun.
-
Anda tidak dapat membagikan sumber daya Katalog Data yang dienkripsi dengan kunci terkelola AWS Glue layanan dengan akun lain. Anda hanya dapat membagikan sumber daya Katalog Data yang dienkripsi dengan kunci enkripsi pelanggan, dan akun yang menerima pembagian sumber daya harus memiliki izin pada kunci enkripsi Katalog Data untuk mendekripsi objek.
Berbagi data lintas akun menggunakan persyaratan LF-TBAC
-
Untuk berbagi sumber daya Katalog Data dengan AWS Organizations dan unit organisasi (OU), Anda perlu memperbarui pengaturan versi Cross account ke Versi 3.
Untuk membagikan sumber daya Katalog Data dengan versi 3 dari setelan versi Cross account, pemberi harus memiliki izin IAM yang ditentukan dalam kebijakan AWS
AWSLakeFormationCrossAccountManagerterkelola di akun Anda.-
Jika Anda menggunakan versi 1 atau versi 2 dari pengaturan versi Cross account, Anda harus memiliki kebijakan sumber daya Katalog Data (
glue:PutResourcePolicy -
Jika saat ini Anda menggunakan kebijakan sumber daya Katalog AWS Glue Data untuk berbagi sumber daya, dan Anda ingin memberikan izin lintas akun menggunakan versi 3 dari setelan versi Cross account, Anda harus menambahkan
glue:ShareResourceizin di Pengaturan Katalog Data menggunakan operasiglue:PutResourcePolicyAPI seperti yang ditunjukkan di bagianMengelola izin lintas akun menggunakan keduanya AWS Glue dan Lake Formation. Kebijakan ini tidak diperlukan jika akun Anda tidak membuat hibah lintas akun menggunakan kebijakan sumber daya Katalog AWS Glue Data (glue:PutResourcePolicyizin penggunaan versi 1 dan versi 2) untuk memberikan akses lintas akun.{ "Effect": "Allow", "Action": [ "glue:ShareResource" ], "Principal": {"Service": [ "ram.amazonaws.com" ]}, "Resource": [ "arn:aws:glue:<region>:<account-id>:table/*/*", "arn:aws:glue:<region>:<account-id>:database/*", "arn:aws:glue:<region>:<account-id>:catalog" ] } -
Jika akun Anda telah membuat pembagian lintas akun menggunakan kebijakan sumber daya Katalog AWS Glue Data, dan saat ini Anda menggunakan metode sumber daya bernama atau LF-TBAC dengan setelan Cross account versi 3 untuk berbagi sumber daya, yang digunakan AWS RAM untuk berbagi sumber daya, Anda harus menyetel
EnableHybridargumen'true'saat menjalankan operasi API.glue:PutResourcePolicyUntuk informasi selengkapnya, lihat Mengelola izin lintas akun menggunakan keduanya AWS Glue dan Lake Formation.
Penyiapan diperlukan di setiap akun yang mengakses sumber daya bersama
Jika Anda berbagi sumber daya dengan Akun AWS, setidaknya satu pengguna di akun konsumen harus menjadi administrator data lake untuk melihat sumber daya bersama. Untuk informasi tentang cara membuat administrator data lake, lihatBuat administrator danau data.
Administrator data lake dapat memberikan izin Lake Formation pada sumber daya bersama ke kepala sekolah lain di akun. Prinsipal lain tidak dapat mengakses sumber daya bersama sampai administrator data lake memberi mereka izin pada sumber daya.
-
Layanan terintegrasi seperti Athena dan Redshift Spectrum memerlukan tautan sumber daya untuk dapat menyertakan sumber daya bersama dalam kueri. Prinsipal perlu membuat tautan sumber daya di Katalog Data mereka ke sumber daya bersama dari yang lain. Akun AWS Untuk informasi selengkapnya tentang tautan sumber daya, lihatCara kerja tautan sumber daya di Lake Formation.
-
Ketika sumber daya dibagikan langsung dengan prinsipal IAM, untuk menanyakan tabel menggunakan Athena, prinsipal perlu membuat tautan sumber daya. Untuk membuat tautan sumber daya, kepala sekolah memerlukan Formasi Danau
CREATE_TABLEatauCREATE_DATABASEizin, dan izinglue:CreateTableatauglue:CreateDatabaseIAM.Jika akun produsen berbagi tabel yang berbeda di bawah database yang sama dengan prinsipal yang sama atau lainnya, prinsipal tersebut dapat segera menanyakan tabel tersebut.
catatan
Untuk administrator data lake dan untuk prinsipal yang telah diberikan izin oleh administrator danau data, sumber daya bersama muncul di Katalog Data seolah-olah sumber daya lokal (dimiliki). Pekerjaan ekstrak, transformasi, dan muat (ETL) dapat mengakses data dasar sumber daya bersama.
Untuk sumber daya bersama, halaman Tabel dan Database di konsol Lake Formation menampilkan ID akun pemilik.
Saat data dasar sumber daya bersama diakses, peristiwa CloudTrail log dibuat di akun penerima sumber daya bersama dan akun pemilik sumber daya. CloudTrail Peristiwa dapat berisi ARN dari prinsipal yang mengakses data, tetapi hanya jika akun penerima memilih untuk memasukkan ARN utama dalam log. Untuk informasi selengkapnya, lihat Pencatatan lintas akun CloudTrail .
