Memperbarui pengaturan versi berbagi data lintas akun

Dari waktu ke waktu, AWS Lake Formation memperbarui pengaturan berbagi data lintas akun untuk membedakan perubahan yang dilakukan pada AWS RAM penggunaan dan untuk mendukung pembaruan yang dilakukan pada fitur berbagi data lintas akun. Ketika Lake Formation melakukan ini, itu membuat versi baru dari pengaturan versi akun Cross.

Perbedaan utama antara pengaturan versi lintas akun

Untuk informasi selengkapnya tentang cara kerja berbagi data lintas akun di bawah pengaturan versi Cross account yang berbeda, lihat bagian berikut.

catatan

Untuk berbagi data dengan akun lain, pemberi harus memiliki izin kebijakan IAM yang AWSLakeFormationCrossAccountManager dikelola. Ini adalah prasyarat untuk semua versi.

Memperbarui pengaturan versi Cross account tidak memengaruhi izin yang dimiliki penerima pada sumber daya bersama. Ini berlaku saat memperbarui dari versi 1 ke versi 2, versi 2 ke versi 3, dan versi 1 ke versi 3. Lihat pertimbangan yang tercantum di bawah ini saat memperbarui versi.

Versi 1

Metode sumber daya bernama: Memetakan setiap hibah izin Lake Formation lintas akun ke satu pembagian AWS RAM sumber daya. Pengguna (peran pemberi atau prinsipal) tidak memerlukan izin tambahan.

Metode LF-TBAC: Hibah izin Lake Formation lintas akun tidak digunakan untuk berbagi data. AWS RAM Pengguna harus memiliki glue:PutResourcePolicy izin.

Manfaat dari memperbarui versi: Versi awal - tidak berlaku.

Pertimbangan saat memperbarui versi: Versi awal - tidak berlaku

Versi 2

Metode sumber daya bernama: Mengoptimalkan jumlah pembagian AWS RAM sumber daya dengan memetakan beberapa hibah izin lintas akun dengan satu pembagian sumber daya. AWS RAM Pengguna tidak memerlukan izin tambahan.

Metode LF-TBAC: Hibah izin Lake Formation lintas akun tidak digunakan untuk berbagi data. AWS RAM Pengguna harus memiliki glue:PutResourcePolicy izin.

Manfaat dari memperbarui versi: Penyiapan lintas akun yang dapat diskalakan dengan pemanfaatan kapasitas yang optimal. AWS RAM

Pertimbangan saat memperbarui versi: Pengguna yang ingin memberikan izin Lake Formation lintas akun harus memiliki izin dalam kebijakan terkelola. AWSLakeFormationCrossAccountManager AWS Jika tidak, Anda harus memiliki ram:AssociateResourceShare dan ram:DisassociateResourceShare izin untuk berhasil berbagi sumber daya dengan akun lain.

Versi 3

Metode sumber daya bernama: Mengoptimalkan jumlah pembagian AWS RAM sumber daya dengan memetakan beberapa hibah izin lintas akun dengan satu pembagian sumber daya. AWS RAM Pengguna tidak memerlukan izin tambahan.

Metode LF-TBAC: Lake Formation digunakan AWS RAM untuk hibah lintas akun. Pengguna harus menambahkan lem: ShareResource pernyataan untuk glue:PutResourcePolicy izin. Penerima harus menerima undangan berbagi sumber daya dari. AWS RAM

Manfaat dari memperbarui versi: Mendukung kemampuan berikut:

• Memungkinkan berbagi sumber daya secara eksplisit dengan prinsipal IAM di akun eksternal.

  Untuk informasi selengkapnya, lihat Pemberian dan pencabutan izin pada sumber daya Katalog Data.

• Memungkinkan saham lintas akun menggunakan metode LF-TBAC ke Organizations atau organization units (OU).

• Menghapus overhead pemeliharaan AWS Glue kebijakan tambahan untuk hibah lintas akun.

Pertimbangan saat memperbarui versi: Saat Anda menggunakan metode LF-TBAC untuk berbagi sumber daya, jika pemberi menggunakan versi yang lebih rendah dari versi 3, dan penerima menggunakan versi 3 atau lebih tinggi, pemberi menerima pesan galat berikut: “Permintaan hibah lintas akun tidak valid. Akun konsumen memiliki opt-in untuk versi lintas akun: v3. Harap CrossAccountVersion perbarui DataLakeSetting ke versi minimal v3 (Layanan: AmazonDataCatalog; Kode Status: 400; Kode Kesalahan: InvalidInputException)”. Namun, jika pemberi menggunakan versi 3 dan penerima menggunakan versi 1 atau versi 2, hibah lintas akun menggunakan LF-tag berhasil.

Hibah lintas akun yang dibuat menggunakan metode sumber daya bernama kompatibel di berbagai versi. Bahkan jika akun pemberi menggunakan versi yang lebih lama (versi 1 atau 2) dan akun penerima menggunakan versi yang lebih baru (versi 3 atau lebih tinggi), fungsi akses lintas akun beroperasi dengan mulus tanpa masalah kompatibilitas atau kesalahan.

Untuk berbagi sumber daya secara langsung dengan kepala sekolah IAM di akun lain, hanya pemberi yang perlu menggunakan versi 3.

Hibah lintas akun yang dibuat menggunakan metode LF-TBAC mengharuskan pengguna untuk memiliki kebijakan sumber daya di akun AWS Glue Data Catalog . Saat Anda memperbarui ke versi 3, hibah LF-TBAC menggunakan. AWS RAM Agar hibah lintas akun AWS RAM berbasis berhasil, Anda harus menambahkan glue:ShareResource pernyataan ke kebijakan sumber daya Katalog Data yang ada seperti yang ditunjukkan di bagianMengelola izin lintas akun menggunakan keduanya AWS Glue dan Lake Formation.

Versi 4

Pemberi membutuhkan versi 4 atau lebih tinggi untuk berbagi sumber daya Katalog Data dalam mode akses hybrid.

Optimalkan pembagian AWS RAM sumber daya

Versi baru (versi 2 ke atas) hibah lintas akun secara optimal memanfaatkan AWS RAM kapasitas untuk memaksimalkan penggunaan lintas akun. Saat Anda berbagi sumber daya dengan kepala eksternal Akun AWS atau IAM, Lake Formation dapat membuat pembagian sumber daya baru atau mengaitkan sumber daya dengan bagian yang ada. Dengan berasosiasi dengan saham yang ada, Lake Formation mengurangi jumlah undangan pembagian sumber daya yang harus diterima konsumen.

Aktifkan AWS RAM pembagian melalui TBAC atau bagikan sumber daya langsung ke kepala sekolah

Untuk berbagi sumber daya secara langsung dengan prinsipal IAM di akun lain atau untuk mengaktifkan pembagian lintas akun TBAC ke Organizations atau unit organisasi, Anda perlu memperbarui pengaturan versi Cross account ke versi 3. Untuk informasi selengkapnya tentang batas AWS RAM sumber daya, lihatPraktik dan pertimbangan terbaik berbagi data lintas akun.

Izin yang diperlukan untuk memperbarui pengaturan versi lintas akun

Jika pemberi izin lintas akun telah AWSLakeFormationCrossAccountManager mengelola izin kebijakan IAM, maka tidak ada pengaturan izin tambahan yang diperlukan untuk peran pemberi izin lintas akun atau prinsipal. Namun, jika pemberi lintas akun tidak menggunakan kebijakan terkelola, maka peran pemberi atau prinsipal harus mengikuti izin IAM yang diberikan agar versi baru hibah lintas akun berhasil.

  
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
         "ram:AssociateResourceShare",
         "ram:DisassociateResourceShare",
         "ram:GetResourceShares"
       ],
     "Resource": "*",
     "Condition": {
       "StringLike": {
         "ram:ResourceShareName": "LakeFormation*"
        }
      }
    }
  ]
}
     

Untuk mengaktifkan versi baru

Ikuti langkah-langkah ini untuk memperbarui pengaturan versi Cross account melalui AWS Lake Formation konsol atau AWS CLI.

Console

1. Pilih Versi 2, Versi 3, atau Versi 4 di bawah Pengaturan versi akun silang pada halaman Pengaturan katalog data. Jika Anda memilih Versi 1, Lake Formation akan menggunakan mode berbagi sumber daya default.

   

2. Pilih Simpan.

AWS Command Line Interface (AWS CLI)

Gunakan put-data-lake-settings AWS CLI perintah untuk mengatur CROSS_ACCOUNT_VERSION parameter. Nilai yang diterima adalah 1, 2, 3, dan 4.

aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
    "DataLakeAdmins": [
        {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/test"
        }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "Parameters": {
        "CROSS_ACCOUNT_VERSION": "3"
    }
}                       
                         

penting

Setelah Anda memilih Versi 2 atau Versi 3, semua hibah sumber daya bernama baru akan melalui mode hibah lintas akun baru. Untuk menggunakan AWS RAM kapasitas secara optimal untuk saham lintas akun Anda yang ada, kami sarankan Anda untuk mencabut hibah yang dibuat dengan versi lama, dan memberikan kembali dalam mode baru.