Prerequisiti - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti

Prima che l' AWS account possa condividere le risorse di Data Catalog (database e tabelle) con un altro account o i responsabili di un altro account e prima di poter accedere alle risorse condivise con il proprio account, devono essere soddisfatti i seguenti prerequisiti.

Requisiti generali per la condivisione dei dati tra account
  • Per condividere i database e le tabelle di Data Catalog in modalità di accesso ibrido, è necessario aggiornare le impostazioni della versione dell'account Cross alla versione 4.

  • Prima di concedere autorizzazioni per più account su una risorsa Data Catalog, devi revocare tutte le autorizzazioni di Lake Formation dal IAMAllowedPrincipals gruppo per la risorsa. Se il principale chiamante dispone di autorizzazioni multiaccount per accedere a una risorsa e l'IAMAllowedPrincipalsautorizzazione esiste sulla risorsa, Lake Formation lanciaAccessDeniedException.

    Questo requisito è applicabile solo quando si registra la posizione dei dati sottostante in modalità Lake Formation. Se si registra la posizione dei dati in modalità ibrida, le autorizzazioni di IAMAllowedPrincipals gruppo possono esistere sul database o sulla tabella condivisi.

  • Per i database che contengono tabelle che si intende condividere, è necessario impedire che alle nuove tabelle venga assegnato di default Super aIAMAllowedPrincipals. Sulla console Lake Formation, modifica il database e disattiva Usa solo il controllo di accesso IAM per le nuove tabelle in questo database o inserisci il seguente AWS CLI comando, sostituendolo database con il nome del database. Se la posizione dei dati sottostante è registrata in modalità di accesso ibrida, non è necessario modificare questa impostazione predefinita. In modalità di accesso ibrido, Lake Formation consente di applicare selettivamente le autorizzazioni di Lake Formation e le politiche di autorizzazione IAM per Amazon S3 e sulla stessa risorsa. AWS Glue

    aws glue update-database --name database --database-input '{"Name":"database","CreateTableDefaultPermissions":[]}'
  • Per concedere le autorizzazioni su più account, il concedente deve disporre delle autorizzazioni richieste (IAM) sul servizio. AWS Identity and Access Management AWS Glue AWS RAM La policy AWS AWSLakeFormationCrossAccountManager gestita concede le autorizzazioni richieste.

    Gli amministratori di Data Lake negli account che ricevono condivisioni di risorse utilizzando AWS RAM devono disporre della seguente politica aggiuntiva. Consente all'amministratore di accettare gli inviti alla condivisione AWS RAM delle risorse. Consente inoltre all'amministratore di abilitare la condivisione delle risorse con le organizzazioni.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ram:AcceptResourceShareInvitation", "ram:RejectResourceShareInvitation", "ec2:DescribeAvailabilityZones", "ram:EnableSharingWithAwsOrganization" ], "Resource": "*" } ] }
  • Se si desidera condividere le risorse di Data Catalog con le AWS Organizations nostre unità organizzative, è necessario abilitare la condivisione con le organizzazioni AWS RAM.

    Per informazioni su come abilitare la condivisione con le organizzazioni, consulta Abilitare la condivisione con AWS le organizzazioni nella Guida per l'AWS RAM utente.

    È necessario disporre dell'ram:EnableSharingWithAwsOrganizationautorizzazione per abilitare la condivisione con le organizzazioni.

  • Per condividere le risorse direttamente con un responsabile IAM in un altro account, devi aggiornare le impostazioni della versione dell'account Cross alla versione 3. Questa impostazione è disponibile nella pagina delle impostazioni del catalogo dati. Se utilizzi la versione 1, consulta le istruzioni per aggiornare l'impostazioneAggiornamento delle impostazioni della versione di condivisione dei dati tra account.

  • Non è possibile condividere le risorse del Data Catalog crittografate con una chiave gestita dal AWS Glue servizio con un altro account. È possibile condividere solo le risorse del Data Catalog crittografate con la chiave di crittografia del cliente e l'account che riceve la condivisione delle risorse deve disporre delle autorizzazioni sulla chiave di crittografia del Data Catalog per decrittografare gli oggetti.

Condivisione dei dati tra account utilizzando i requisiti LF-TBAC
  • Per condividere le risorse di Data Catalog con AWS Organizations le unità organizzative (OU), è necessario aggiornare le impostazioni della versione dell'account Cross alla versione 3.

  • Per condividere le risorse di Data Catalog con la versione 3 delle impostazioni della versione dell'account Cross, il concedente deve disporre delle autorizzazioni IAM definite AWSLakeFormationCrossAccountManager nella politica AWS gestita del proprio account.

  • Se utilizzi la versione 1 o la versione 2 delle impostazioni della versione dell'account Cross, devi disporre di una politica delle risorse di Data Catalog (glue:PutResourcePolicy) che abiliti LF-TBAC. Per ulteriori informazioni, consulta Gestione delle autorizzazioni tra account utilizzando entrambi AWS Glue e Lake Formation.

  • Se attualmente utilizzi una politica delle risorse di AWS Glue Data Catalog per condividere risorse e desideri concedere autorizzazioni tra account utilizzando la versione 3 delle impostazioni della versione Cross account, devi aggiungere l'glue:ShareResourceautorizzazione nelle Impostazioni del Data Catalog utilizzando l'operazione glue:PutResourcePolicy API, come mostrato nella sezione. Gestione delle autorizzazioni tra account utilizzando entrambi AWS Glue e Lake Formation Questa politica non è richiesta se il tuo account non ha concesso concessioni tra account utilizzando la politica delle risorse di AWS Glue Data Catalog (glue:PutResourcePolicyautorizzazione all'uso delle versioni 1 e 2) per concedere l'accesso a più account.

    { "Effect": "Allow", "Action": [ "glue:ShareResource" ], "Principal": {"Service": [ "ram.amazonaws.com" ]}, "Resource": [ "arn:aws:glue:<region>:<account-id>:table/*/*", "arn:aws:glue:<region>:<account-id>:database/*", "arn:aws:glue:<region>:<account-id>:catalog" ] }
  • Se il tuo account ha effettuato condivisioni tra account utilizzando la politica delle risorse di AWS Glue Data Catalog e attualmente utilizzi il metodo Named Resource o LF-TBAC con impostazioni Cross account versione 3 per condividere le risorse, che utilizza AWS RAM per condividere le risorse, devi impostare l'EnableHybridargomento su quando richiami l'operazione API. 'true' glue:PutResourcePolicy Per ulteriori informazioni, consulta Gestione delle autorizzazioni tra account utilizzando entrambi AWS Glue e Lake Formation.

Configurazione richiesta in ogni account che accede alla risorsa condivisa
  • Se condividi risorse con Account AWS, almeno un utente dell'account consumer deve essere un amministratore del data lake per visualizzare le risorse condivise. Per informazioni su come creare un amministratore di data lake, consultaCrea un amministratore del data lake.

    L'amministratore del data lake può concedere le autorizzazioni di Lake Formation sulle risorse condivise ad altri responsabili dell'account. Gli altri responsabili non possono accedere alle risorse condivise finché l'amministratore del data lake non concede loro le autorizzazioni sulle risorse.

  • I servizi integrati come Athena e Redshift Spectrum richiedono collegamenti alle risorse per poter includere risorse condivise nelle query. I responsabili devono creare un collegamento di risorsa nel proprio catalogo dati a una risorsa condivisa da un'altra risorsa. Account AWS Per ulteriori informazioni sui collegamenti alle risorse, consultaCome funzionano i link alle risorse in Lake Formation.

  • Quando una risorsa viene condivisa direttamente con un principale IAM, per interrogare la tabella utilizzando Athena, il principale deve creare un collegamento alla risorsa. Per creare un collegamento a una risorsa, il principale necessita dell'CREATE_DATABASEautorizzazione CREATE_TABLE o del Lake Formation e dell'autorizzazione glue:CreateTable o glue:CreateDatabase IAM.

    Se l'account produttore condivide una tabella diversa dello stesso database con lo stesso principale o con un altro principale, tale principale può interrogare immediatamente la tabella.

Nota

Per l'amministratore del data lake e per i responsabili a cui l'amministratore del data lake ha concesso le autorizzazioni, le risorse condivise vengono visualizzate nel Data Catalog come se fossero risorse locali (di proprietà). I job di estrazione, trasformazione e caricamento (ETL) possono accedere ai dati sottostanti delle risorse condivise.

Per le risorse condivise, le pagine Tabelle e database della console Lake Formation visualizzano l'ID dell'account del proprietario.

Quando si accede ai dati sottostanti di una risorsa condivisa, gli eventi di CloudTrail registro vengono generati sia nell'account del destinatario della risorsa condivisa che nell'account del proprietario della risorsa. Gli CloudTrail eventi possono contenere l'ARN del principale che ha avuto accesso ai dati, ma solo se l'account del destinatario sceglie di includere l'ARN principale nei registri. Per ulteriori informazioni, consulta Registrazione su più account CloudTrail .