Berbagi sumber daya Lake Formation menggunakan mode akses hybrid - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Berbagi sumber daya Lake Formation menggunakan mode akses hybrid

Izinkan pengguna Katalog Data baru di akun eksternal untuk mengakses database dan tabel Katalog Data menggunakan kebijakan berbasis IAM tanpa mengganggu izin berbagi lintas akun Lake Formation yang ada.

Deskripsi skenario - Akun produsen memiliki database dan tabel terkelola Lake Formation yang dibagikan dengan akun eksternal (konsumen) di tingkat akun atau tingkat utama IAM. Lokasi data database terdaftar di Lake Formation. IAMAllowedPrincipalsGrup tidak memiliki Super izin pada database dan tabelnya.

Memberikan akses lintas akun ke pengguna Katalog Data baru melalui kebijakan berbasis IAM tanpa mengganggu izin Lake Formation yang ada
  1. Pengaturan akun produser
    1. Masuk ke konsol Lake Formation menggunakan peran itulakeformation:PutDataLakeSettings.

    2. Di bawah Pengaturan Katalog Data, pilih Version 4 pengaturan versi Cross account.

      Jika saat ini Anda menggunakan versi 1 atau 2, lihat Memperbarui pengaturan versi berbagi data lintas akun petunjuk tentang memperbarui ke versi 3.

      Tidak ada perubahan kebijakan izin yang diperlukan untuk meningkatkan dari versi 3 ke 4.

    3. Buat daftar izin yang Anda berikan kepada prinsipal pada database dan tabel. Untuk informasi selengkapnya, lihat Melihat izin database dan tabel di Lake Formation.

    4. Berikan kembali izin lintas akun Lake Formation yang ada dengan memilih prinsip dan sumber daya.

      catatan

      Sebelum memperbarui pendaftaran lokasi data ke mode akses hibrid untuk memberikan izin lintas akun, Anda harus memberikan kembali setidaknya satu pembagian data lintas akun per akun. Langkah ini diperlukan untuk memperbarui izin AWS RAM terkelola yang dilampirkan pada pembagian AWS RAM sumber daya.

      Pada Juli 2023, Lake Formation telah memperbarui izin AWS RAM terkelola yang digunakan untuk berbagi database dan tabel:

      • arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueAllTablesReadWriteForDatabase(kebijakan pembagian tingkat basis data)

      • arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueTableReadWrite(kebijakan berbagi tingkat tabel)

      Hibah izin lintas akun yang dibuat sebelum Juli 2023 tidak memiliki izin yang diperbarui ini. AWS RAM

      Jika Anda telah memberikan izin lintas akun secara langsung ke kepala sekolah, Anda perlu memberikan kembali izin tersebut secara individual kepada prinsipal. Jika Anda melewati langkah ini, kepala sekolah yang mengakses sumber daya bersama mungkin mendapatkan kesalahan kombinasi ilegal.

    5. Pergi ke https://console.aws.amazon.com/ram.

    6. Tab Dibagikan oleh saya di AWS RAM konsol menampilkan database dan nama tabel yang telah Anda bagikan dengan akun eksternal atau prinsipal.

      Pastikan bahwa izin yang dilampirkan ke sumber daya bersama memiliki ARN yang benar.

    7. Verifikasi sumber daya dalam AWS RAM pembagian dalam Associated status. Jika status menunjukkan sebagaiAssociating, tunggu sampai mereka masuk ke Associated negara bagian. Jika statusnya menjadiFailed, hentikan dan hubungi tim layanan Lake Formation.

    8. Pilih mode akses Hybrid di bawah Izin dari bilah navigasi kiri, dan pilih Tambah.

    9. Halaman Add prinsipal dan sumber daya menunjukkan database, dan/atau tabel dan prinsipal yang memiliki akses. Anda dapat membuat pembaruan yang diperlukan dengan menambahkan atau menghapus prinsip dan sumber daya.

    10. Pilih prinsipal dengan izin Lake Formation untuk database dan tabel yang ingin Anda ubah ke mode akses hybrid. Pilih database dan tabel.

    11. Pilih Tambah untuk memilih prinsipal untuk menerapkan izin Lake Formation dalam mode akses hybrid.

    12. Berikan Super izin ke grup virtual IAMAllowedPrincipals pada database Anda dan tabel yang dipilih.

    13. Edit pendaftaran Lake Formation lokasi Amazon S3 ke mode akses hybrid.

    14. Berikan izin untuk AWS Glue pengguna di akun eksternal (konsumen) menggunakan kebijakan izin IAM untuk tindakan Amazon AWS Glue S3.

  2. Pengaturan akun konsumen
    1. Masuk ke konsol Lake Formation di https://console.aws.amazon.com/lakeformation/ sebagai administrator danau data.

    2. Buka https://console.aws.amazon.com/ram dan terima undangan berbagi sumber daya. Tab Sumber Daya yang dibagikan dengan saya di AWS RAM halaman menampilkan database dan nama tabel yang dibagikan dengan akun Anda.

      Untuk AWS RAM pembagian, pastikan bahwa izin terlampir memiliki ARN yang benar dari undangan bersama AWS RAM . Periksa apakah sumber daya dalam AWS RAM pembagian dalam Associated status. Jika status menunjukkan sebagaiAssociating, tunggu sampai mereka masuk ke Associated negara bagian. Jika statusnya menjadiFailed, hentikan dan hubungi tim layanan Lake Formation.

    3. Buat tautan sumber daya ke database dan/atau tabel bersama di Lake Formation.

    4. Berikan Describe izin pada tautan sumber daya dan Grant on target izin (pada sumber daya bersama asli) ke prinsipal IAM di akun (konsumen) Anda.

    5. Selanjutnya, siapkan izin Lake Formation untuk kepala sekolah di akun Anda di database atau tabel bersama.

      Di bilah navigasi kiri, di bawah Izin, pilih mode akses Hybrid.

    6. Pilih Tambah di bagian bawah halaman mode akses Hybrid untuk memilih prinsipal dan database atau tabel yang dibagikan dengan Anda dari akun produsen.

    7. Berikan izin untuk AWS Glue pengguna di akun Anda menggunakan kebijakan izin IAM untuk tindakan Amazon AWS Glue S3.

    8. Uji izin dan AWS Glue izin Lake Formation pengguna dengan menjalankan kueri sampel terpisah di atas meja menggunakan Athena

      (Opsional) Bersihkan kebijakan izin IAM untuk Amazon S3 untuk prinsipal yang berada dalam mode akses hybrid.