Gestione delle autorizzazioni tra account utilizzando entrambi AWS Glue e Lake Formation

È possibile concedere l'accesso a più account alle risorse del Data Catalog e ai dati sottostanti utilizzando o. AWS Glue AWS Lake Formation

InAWS Glue, concedi autorizzazioni per più account creando o aggiornando una politica delle risorse di Data Catalog. In Lake Formation, concedi autorizzazioni per più account utilizzando il modello di autorizzazioni Lake Formation GRANT/REVOKE e il funzionamento dell'Grant PermissionsAPI.

Suggerimento

Ti consigliamo di affidarti esclusivamente alle autorizzazioni di Lake Formation per proteggere il tuo data lake.

Puoi visualizzare le sovvenzioni di Lake Formation su più account utilizzando la console Lake Formation o la console AWS Resource Access Manager (AWS RAM). Tuttavia, queste pagine della console non mostrano le autorizzazioni per più account concesse dalla politica delle risorse di AWS Glue Data Catalog. Allo stesso modo, puoi visualizzare le concessioni tra account nella politica delle risorse di Data Catalog utilizzando la pagina Impostazioni della AWS Glue console, ma quella pagina non mostra le autorizzazioni per più account concesse utilizzando Lake Formation.

Per assicurarti di non perdere nessuna sovvenzione durante la visualizzazione e la gestione delle autorizzazioni tra più account, Lake Formation AWS Glue richiede che tu esegua le seguenti azioni per indicare che sei a conoscenza e che stai autorizzando le sovvenzioni tra account sia da Lake Formation che. AWS Glue

Quando si concedono autorizzazioni su più account utilizzando la politica delle risorse di Data Catalog AWS Glue

Se il tuo account (account concedente o account produttore) non ha concesso concessioni tra account diversi che vengono utilizzate AWS RAM per condividere le risorse, puoi salvare una politica sulle risorse di Data Catalog come di consueto in. AWS Glue Tuttavia, se sono già state concesse sovvenzioni che prevedono la condivisione AWS RAM delle risorse, è necessario effettuare una delle seguenti operazioni per garantire che la politica di salvataggio delle risorse abbia esito positivo:

Quando salvi la politica delle risorse nella pagina Impostazioni della AWS Glue console, la console emette un avviso che indica che le autorizzazioni nella politica si aggiungeranno a tutte le autorizzazioni concesse utilizzando la console Lake Formation. È necessario scegliere Procedi per salvare la politica.

Quando si salva la politica delle risorse utilizzando l'operazione glue:PutResourcePolicy API, è necessario impostare il EnableHybrid campo su 'TRUE' (type = string). Il seguente esempio di codice mostra come eseguire questa operazione in Python.


import boto3
import json

REGION = 'us-east-2'
PRODUCER_ACCOUNT_ID = '123456789012'
CONSUMER_ACCOUNT_IDs = ['111122223333']

glue = glue_client = boto3.client('glue')

policy = {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Cataloguers",
            "Effect": "Allow",
            "Action": [
                "glue:*"
            ],
            "Principal": {
                "AWS": CONSUMER_ACCOUNT_IDs
            },
            "Resource": [
                f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:catalog",
                f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:database/*",
                f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:table/*/*"
            ]
        }
    ]
}

policy = json.dumps(policy)
glue.put_resource_policy(PolicyInJson=policy, EnableHybrid='TRUE')

Per ulteriori informazioni, consulta PutResourcePolicy Action (Python: put_resource_policy) nella Developer Guide.AWS Glue

Quando si concedono autorizzazioni per più account utilizzando il metodo delle risorse denominate Lake Formation

Se nel tuo account (account produttore) non è presente alcuna politica sulle risorse di Data Catalog, Lake Formation garantisce che tu proceda come al solito. Tuttavia, se esiste una politica in materia di risorse di Data Catalog, devi aggiungere la seguente dichiarazione per consentire che le concessioni tra account abbiano esito positivo se vengono effettuate con il metodo delle risorse denominato. <region>Sostituiscila con un nome regionale valido e <account-id>con l'ID AWS del tuo account (ID account produttore).


    {
      "Effect": "Allow",
      "Action": [
        "glue:ShareResource"
      ],
      "Principal": {"Service": [
        "ram.amazonaws.com"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:<account-id>:table/*/*",
        "arn:aws:glue:<region>:<account-id>:database/*",
        "arn:aws:glue:<region>:<account-id>:catalog"
      ]
    }

Senza questa dichiarazione aggiuntiva, la sovvenzione di Lake Formation ha esito positivo, ma viene bloccata e l'account del destinatario non può accedere alla risorsa concessa. AWS RAM

Importante

Quando si utilizza il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC) per concedere concessioni tra account, è necessario disporre di una politica delle risorse del Data Catalog con almeno le autorizzazioni specificate in. Prerequisiti

Consulta anche:

Controllo dell'accesso ai metadati(per una discussione sul metodo Named Resource rispetto al metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC)).
Visualizzazione di tabelle e database condivisi del Data Catalog
Utilizzo delle impostazioni del catalogo dati sulla console nella Guida per gli sviluppatori AWS GlueAWS Glue
Concessione dell'accesso a più account nella Guida per gli AWS Glue sviluppatori (ad esempio, le politiche relative alle risorse di Data Catalog)

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Registrazione su più account CloudTrail

Visualizzazione di tutte le sovvenzioni tra account utilizzando l'operazione API GetResourceShares