Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Condivisione di una AWS Glue risorsa utilizzando la modalità di accesso ibrida
Condividi i dati con un altro Account AWS o con un responsabile di un altro richiedente Account AWS applicando le autorizzazioni di Lake Formation senza interrompere l'accesso basato sugli utenti IAM esistenti del Data Catalog.
Descrizione dello scenario: l'account produttore dispone di un database Data Catalog il cui accesso è controllato utilizzando le politiche e AWS Glue le azioni IAM principali per Amazon S3. La posizione dei dati del database non è registrata con Lake Formation. Per impostazione predefinita, il IAMAllowedPrincipals
gruppo dispone Super
delle autorizzazioni per il database e tutte le relative tabelle.
Concessione di autorizzazioni Lake Formation per più account in modalità di accesso ibrida
-
Configurazione dell'account Producer
-
Accedi alla console di Lake Formation utilizzando un ruolo
lakeformation:PutDataLakeSettings
IAM autorizzato. -
Vai alle impostazioni di Data Catalog e scegli
Version 4
le impostazioni della versione dell'account Cross.Se attualmente utilizzi la versione 1 o 2, consulta Aggiornamento delle impostazioni della versione di condivisione dei dati tra account le istruzioni per l'aggiornamento alla versione 3.
Non sono necessarie modifiche alla politica di autorizzazione per l'aggiornamento dalla versione 3 alla 4.
-
Registra la posizione Amazon S3 del database o della tabella che intendi condividere in modalità di accesso ibrido.
-
Verifica che l'
Super
autorizzazione alIAMAllowedPrincipals
gruppo esista sui database e sulle tabelle di cui hai registrato la posizione dei dati in modalità di accesso ibrida nel passaggio precedente. Concedi le autorizzazioni di Lake Formation a AWS organizzazioni, unità organizzative (OUs) o direttamente con un IAM responsabile in un altro account.
-
Se concedi le autorizzazioni direttamente a un IAM principale, scegli l'indirizzo principale dall'account consumer per applicare le autorizzazioni di Lake Formation in modalità di accesso ibrido abilitando l'opzione Rendi le autorizzazioni di Lake Formation effettive immediatamente.
Se concedi autorizzazioni per più account a un altro AWS account, quando attivi l'account, le autorizzazioni di Lake Formation vengono applicate solo agli amministratori di quell'account. L'amministratore del data lake dell'account destinatario deve ripartire a cascata le autorizzazioni e attivare i principali dell'account per applicare le autorizzazioni di Lake Formation per le risorse condivise che si trovano in modalità di accesso ibrido.
Se scegli l'opzione Resources matched by LF-Tags per concedere le autorizzazioni su più account, devi prima completare la fase di concessione delle autorizzazioni. Puoi impostare i principali e le risorse per la modalità di accesso ibrido in un passaggio separato selezionando la modalità di accesso ibrida in Autorizzazioni nella barra di navigazione a sinistra della console Lake Formation. Quindi scegli Aggiungi per aggiungere le risorse e i presidi a cui desideri applicare le autorizzazioni di Lake Formation.
-
-
Configurazione dell'account consumatore
-
Accedi alla console di Lake Formation https://console.aws.amazon.com/lakeformation/
come amministratore del data lake. -
Vai su https://console.aws.amazon.com/ram
e accetta l'invito alla condivisione delle risorse. La scheda Condivisi con me nella AWS RAM console mostra il database e le tabelle condivise con il tuo account. -
Crea un collegamento alla risorsa al database e/o alla tabella condivisi in Lake Formation.
-
Concedi
Describe
l'autorizzazione al collegamento alla risorsa e l'Grant on target
autorizzazione (sulla risorsa condivisa originale) ai IAM responsabili del tuo account (consumatore). -
Concedi le autorizzazioni di Lake Formation sul database o sulla tabella condivisa con te ai responsabili del tuo account. Scegli i principi e le risorse per applicare le autorizzazioni di Lake Formation in modalità di accesso ibrida abilitando l'opzione Rendi immediatamente effettive le autorizzazioni di Lake Formation.
-
Verifica le autorizzazioni di Lake Formation del responsabile eseguendo delle query Athena di esempio. Verifica l'accesso esistente dei tuoi AWS Glue utenti con le politiche e AWS Glue le azioni IAM principali per Amazon S3.
(Facoltativo) Rimuovi la policy del bucket di Amazon S3 per l'accesso ai dati e le politiche IAM principali per Amazon AWS Glue S3 e l'accesso ai dati di Amazon S3 per i principali che hai configurato per utilizzare le autorizzazioni di Lake Formation.
-