Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione delle autorizzazioni tra account utilizzando entrambi AWS Glue e Lake Formation
È possibile concedere l'accesso a più account alle risorse del Data Catalog e ai dati sottostanti utilizzando entrambi AWS Glue oppure. AWS Lake Formation
In AWS Glue, concedi autorizzazioni per più account creando o aggiornando una politica delle risorse di Data Catalog. In Lake Formation, concedi autorizzazioni per più account utilizzando il modello di GRANT/REVOKE
autorizzazioni Lake Formation e l'operazione. Grant Permissions
API
Suggerimento
Ti consigliamo di affidarti esclusivamente alle autorizzazioni di Lake Formation per proteggere il tuo data lake.
Puoi visualizzare le sovvenzioni di Lake Formation su più account utilizzando la console Lake Formation o la console AWS Resource Access Manager (AWS RAM). Tuttavia, quelle pagine della console non mostrano le autorizzazioni per più account concesse dal AWS Glue Politica delle risorse di Data Catalog. Allo stesso modo, puoi visualizzare le concessioni tra account nella politica delle risorse di Data Catalog utilizzando la pagina Impostazioni del AWS Glue console, ma quella pagina non mostra le autorizzazioni multiaccount concesse utilizzando Lake Formation.
Per assicurarti di non perdere nessuna sovvenzione durante la visualizzazione e la gestione delle autorizzazioni tra account, Lake Formation e AWS Glue richiederti di eseguire le seguenti azioni per indicare che sei a conoscenza e che stai autorizzando sovvenzioni incrociate tra account sia da parte di Lake Formation che AWS Glue.
Quando si concedono autorizzazioni su più account utilizzando il AWS Glue Politica delle risorse di Data Catalog
Se il tuo account (account concedente o account produttore) non ha concesso sovvenzioni tra account diversi che vengono utilizzate AWS RAM per condividere le risorse, puoi salvare una politica relativa alle risorse di Data Catalog come di consueto in AWS Glue. Tuttavia, se sono già state concesse concessioni che prevedono la condivisione AWS RAM delle risorse, è necessario effettuare una delle seguenti operazioni per garantire che la politica di salvataggio delle risorse abbia esito positivo:
-
Quando si salva la politica delle risorse nella pagina Impostazioni del AWS Glue console, la console emette un avviso che indica che le autorizzazioni contenute nella policy si aggiungeranno a tutte le autorizzazioni concesse utilizzando la console Lake Formation. È necessario scegliere Procedi per salvare la politica.
-
Quando si salva la politica delle risorse utilizzando l'
glue:PutResourcePolicy
APIoperazione, è necessario impostare ilEnableHybrid
campo su 'TRUE
' (type = string). Il seguente esempio di codice mostra come eseguire questa operazione in Python.import boto3 import json REGION = 'us-east-2' PRODUCER_ACCOUNT_ID = '123456789012' CONSUMER_ACCOUNT_IDs = ['111122223333'] glue = glue_client = boto3.client('glue') policy = { "Version": "2012-10-17", "Statement": [ { "Sid": "Cataloguers", "Effect": "Allow", "Action": [ "glue:*" ], "Principal": { "AWS": CONSUMER_ACCOUNT_IDs }, "Resource": [ f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:catalog", f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:database/*", f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:table/*/*" ] } ] } policy = json.dumps(policy) glue.put_resource_policy(PolicyInJson=policy, EnableHybrid='TRUE')
Per ulteriori informazioni, consulta PutResourcePolicy Action (Python: put_resource_policy) nella Developer Guide.AWS Glue
Quando si concedono autorizzazioni per più account utilizzando il metodo delle risorse denominate Lake Formation
Se nel tuo account (account produttore) non è presente alcuna politica sulle risorse di Data Catalog, Lake Formation garantisce che tu proceda come al solito. Tuttavia, se esiste una politica in materia di risorse di Data Catalog, devi aggiungere la seguente dichiarazione per consentire che le concessioni tra account abbiano esito positivo se vengono effettuate con il metodo delle risorse denominato. Replace (Sostituisci) <region>
con un nome di regione valido e <account-id>
con l'ID AWS del tuo account (ID account produttore).
{ "Effect": "Allow", "Action": [ "glue:ShareResource" ], "Principal": {"Service": [ "ram.amazonaws.com" ]}, "Resource": [ "arn:aws:glue:
<region>
:<account-id>
:table/*/*", "arn:aws:glue:<region>
:<account-id>
:database/*", "arn:aws:glue:<region>
:<account-id>
:catalog" ] }
Senza questa dichiarazione aggiuntiva, la sovvenzione di Lake Formation ha esito positivo, ma viene bloccata e l'account del destinatario non può accedere alla risorsa concessa. AWS RAM
Importante
Quando si utilizza il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC) per concedere concessioni tra account, è necessario disporre di una politica delle risorse del Data Catalog con almeno le autorizzazioni specificate in. Prerequisiti
Consulta anche:
-
Controllo dell'accesso ai metadati(per una discussione sul metodo della risorsa denominata rispetto al metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC)).
-
Visualizzazione di tabelle e database condivisi del Data Catalog
-
Utilizzo delle impostazioni del catalogo dati su AWS Glue Console nella Guida per AWS Glue gli sviluppatori
-
Concessione dell'accesso a più account nella Guida per gli AWS Glue sviluppatori (ad esempio, le politiche relative alle risorse del Data Catalog)