Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Prerequisiti
Prima che l' AWS account possa condividere le risorse di Data Catalog (database e tabelle) con un altro account o i responsabili di un altro account e prima di poter accedere alle risorse condivise con il proprio account, devono essere soddisfatti i seguenti prerequisiti.
Requisiti generali per la condivisione dei dati tra account
-
Per condividere i database e le tabelle di Data Catalog in modalità di accesso ibrido, è necessario aggiornare le impostazioni della versione dell'account Cross alla versione 4.
-
Prima di concedere autorizzazioni per più account su una risorsa Data Catalog, devi revocare tutte le autorizzazioni di Lake Formation dal
IAMAllowedPrincipals
gruppo per la risorsa. Se il principale chiamante dispone di autorizzazioni multiaccount per accedere a una risorsa e l'IAMAllowedPrincipals
autorizzazione esiste sulla risorsa, Lake Formation lanciaAccessDeniedException
.Questo requisito è applicabile solo quando si registra la posizione dei dati sottostante in modalità Lake Formation. Se si registra la posizione dei dati in modalità ibrida, le autorizzazioni di
IAMAllowedPrincipals
gruppo possono esistere sul database o sulla tabella condivisi. -
Per i database che contengono tabelle che si intende condividere, è necessario impedire che alle nuove tabelle venga assegnato di default
Super
aIAMAllowedPrincipals
. Sulla console Lake Formation, modifica il database e disattiva Usa solo il controllo di IAM accesso per le nuove tabelle in questo database o inserisci il seguente AWS CLI comando, sostituendolodatabase
con il nome del database. Se la posizione dei dati sottostante è registrata in modalità di accesso ibrida, non è necessario modificare questa impostazione predefinita. In modalità di accesso ibrido, Lake Formation consente di applicare in modo selettivo le autorizzazioni e IAM le politiche di autorizzazione di Lake Formation per Amazon S3 e sulla stessa risorsa. AWS Glueaws glue update-database --name
database
--database-input '{"Name":"database
","CreateTableDefaultPermissions":[]}' Per concedere le autorizzazioni su più account, il concedente deve disporre delle autorizzazioni richieste () AWS Identity and Access Management IAM AWS Glue AWS RAM e servizio. La politica AWS gestita
AWSLakeFormationCrossAccountManager
concede le autorizzazioni richieste.Gli amministratori di Data Lake negli account che ricevono condivisioni di risorse utilizzando AWS RAM devono disporre della seguente politica aggiuntiva. Consente all'amministratore di accettare inviti alla condivisione AWS RAM delle risorse. Consente inoltre all'amministratore di abilitare la condivisione delle risorse con le organizzazioni.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ram:AcceptResourceShareInvitation", "ram:RejectResourceShareInvitation", "ec2:DescribeAvailabilityZones", "ram:EnableSharingWithAwsOrganization" ], "Resource": "*" } ] }
-
Se si desidera condividere le risorse di Data Catalog con le AWS Organizations nostre unità organizzative, è necessario abilitare la condivisione con le organizzazioni AWS RAM.
Per informazioni su come abilitare la condivisione con le organizzazioni, consulta Abilitare la condivisione con AWS le organizzazioni nella Guida per l'AWS RAM utente.
È necessario disporre dell'
ram:EnableSharingWithAwsOrganization
autorizzazione per abilitare la condivisione con le organizzazioni. -
Per condividere le risorse direttamente con un IAM responsabile di un altro account, devi aggiornare le impostazioni della versione dell'account Cross alla versione 3. Questa impostazione è disponibile nella pagina delle impostazioni del catalogo dati. Se utilizzi la versione 1, consulta le istruzioni per aggiornare l'impostazioneAggiornamento delle impostazioni della versione di condivisione dei dati tra account.
-
Non è possibile condividere le risorse del Data Catalog crittografate con una chiave gestita dal AWS Glue servizio con un altro account. È possibile condividere solo le risorse del Data Catalog crittografate con la chiave di crittografia del cliente e l'account che riceve la condivisione delle risorse deve disporre delle autorizzazioni sulla chiave di crittografia del Data Catalog per decrittografare gli oggetti.
Condivisione dei dati tra account utilizzando i requisiti LF TBAC
-
Per condividere le risorse di Data Catalog con AWS Organizations e le unità organizzative (OUs), è necessario aggiornare le impostazioni della versione dell'account Cross alla versione 3.
Per condividere le risorse di Data Catalog con la versione 3 delle impostazioni della versione dell'account Cross, il concedente deve disporre delle IAM autorizzazioni definite nella politica AWS
AWSLakeFormationCrossAccountManager
gestita nel proprio account.-
Se utilizzi la versione 1 o la versione 2 delle impostazioni della versione dell'account Cross, devi disporre di una politica delle risorse di Data Catalog (
) che abiliti LF-. TBAC Per ulteriori informazioni, consulta Gestione delle autorizzazioni tra account utilizzando entrambi AWS Glue e Lake Formation.glue:PutResourcePolicy
-
Se al momento stai utilizzando un AWS Glue Politica delle risorse di Data Catalog per condividere le risorse e desideri concedere le autorizzazioni su più account utilizzando la versione 3 delle impostazioni della versione Cross account, devi aggiungere l'
glue:ShareResource
autorizzazione nelle Impostazioni del catalogo dati utilizzando l'glue:PutResourcePolicy
APIoperazione mostrata nella sezione. Gestione delle autorizzazioni tra account utilizzando entrambi AWS Glue e Lake Formation Questa politica non è richiesta se il tuo account non ha concesso concessioni tra account utilizzando il AWS Glue Politica sulle risorse di Data Catalog (glue:PutResourcePolicy
autorizzazione all'uso delle versioni 1 e 2) per concedere l'accesso tra account diversi.{ "Effect": "Allow", "Action": [ "glue:ShareResource" ], "Principal": {"Service": [ "ram.amazonaws.com" ]}, "Resource": [ "arn:aws:glue:<region>:<account-id>:table/*/*", "arn:aws:glue:<region>:<account-id>:database/*", "arn:aws:glue:<region>:<account-id>:catalog" ] }
-
Se il tuo account ha effettuato condivisioni tra account utilizzando AWS Glue In base alla politica relativa alle risorse di Data Catalog e attualmente utilizzi il metodo Named Resource o la versione 3 delle impostazioni LF- TBAC with Cross account settings, che utilizza AWS RAM per condividere le risorse, devi impostare l'
EnableHybrid
argomento su'true'
quando richiami l'glue:PutResourcePolicy
APIoperazione. Per ulteriori informazioni, consulta Gestione delle autorizzazioni tra account utilizzando entrambi AWS Glue e Lake Formation.
Configurazione richiesta in ogni account che accede alla risorsa condivisa
Se condividi risorse con Account AWS, almeno un utente dell'account consumer deve essere un amministratore del data lake per visualizzare le risorse condivise. Per informazioni su come creare un amministratore di data lake, consultaCrea un amministratore del data lake.
L'amministratore del data lake può concedere le autorizzazioni di Lake Formation sulle risorse condivise ad altri responsabili dell'account. Gli altri responsabili non possono accedere alle risorse condivise finché l'amministratore del data lake non concede loro le autorizzazioni sulle risorse.
-
I servizi integrati come Athena e Redshift Spectrum richiedono collegamenti alle risorse per poter includere risorse condivise nelle query. I responsabili devono creare un collegamento di risorsa nel proprio catalogo dati a una risorsa condivisa da un'altra risorsa. Account AWS Per ulteriori informazioni sui collegamenti alle risorse, consultaCome funzionano i link alle risorse in Lake Formation.
-
Quando una risorsa viene condivisa direttamente con un IAM principale, per interrogare la tabella utilizzando Athena, il principale deve creare un collegamento alla risorsa. Per creare un collegamento a una risorsa, il principale necessita del
CREATE_DATABASE
permessoCREATE_TABLE
o della Lake Formation e delglue:CreateDatabase
IAM permessoglue:CreateTable
or.Se l'account produttore condivide una tabella diversa dello stesso database con lo stesso principale o con un altro principale, tale principale può interrogare immediatamente la tabella.
Nota
Per l'amministratore del data lake e per i responsabili a cui l'amministratore del data lake ha concesso le autorizzazioni, le risorse condivise vengono visualizzate nel Data Catalog come se fossero risorse locali (di proprietà). I job di estrazione, trasformazione e caricamento (ETL) possono accedere ai dati sottostanti delle risorse condivise.
Per le risorse condivise, le pagine Tabelle e database della console Lake Formation visualizzano l'ID dell'account del proprietario.
Quando si accede ai dati sottostanti di una risorsa condivisa, gli eventi di CloudTrail registro vengono generati sia nell'account del destinatario della risorsa condivisa che nell'account del proprietario della risorsa. Gli CloudTrail eventi possono contenere il ARN nome del principale che ha avuto accesso ai dati, ma solo se l'account del destinatario sceglie di includere il principale ARN nei log. Per ulteriori informazioni, consulta Registrazione su più account CloudTrail .