Gestione delle autorizzazioni tra account utilizzando entrambi AWS Glue e Lake Formation - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione delle autorizzazioni tra account utilizzando entrambi AWS Glue e Lake Formation

È possibile concedere l'accesso a più account alle risorse del Data Catalog e ai dati sottostanti utilizzando entrambi AWS Glue oppure. AWS Lake Formation

In AWS Glue, concedi autorizzazioni per più account creando o aggiornando una politica delle risorse di Data Catalog. In Lake Formation, concedi autorizzazioni per più account utilizzando il modello di GRANT/REVOKE autorizzazioni Lake Formation e l'operazione. Grant Permissions API

Suggerimento

Ti consigliamo di affidarti esclusivamente alle autorizzazioni di Lake Formation per proteggere il tuo data lake.

Puoi visualizzare le sovvenzioni di Lake Formation su più account utilizzando la console Lake Formation o la console AWS Resource Access Manager (AWS RAM). Tuttavia, quelle pagine della console non mostrano le autorizzazioni per più account concesse dal AWS Glue Politica delle risorse di Data Catalog. Allo stesso modo, puoi visualizzare le concessioni tra account nella politica delle risorse di Data Catalog utilizzando la pagina Impostazioni del AWS Glue console, ma quella pagina non mostra le autorizzazioni multiaccount concesse utilizzando Lake Formation.

Per assicurarti di non perdere nessuna sovvenzione durante la visualizzazione e la gestione delle autorizzazioni tra account, Lake Formation e AWS Glue richiederti di eseguire le seguenti azioni per indicare che sei a conoscenza e che stai autorizzando sovvenzioni incrociate tra account sia da parte di Lake Formation che AWS Glue.

Quando si concedono autorizzazioni su più account utilizzando il AWS Glue Politica delle risorse di Data Catalog

Se il tuo account (account concedente o account produttore) non ha concesso sovvenzioni tra account diversi che vengono utilizzate AWS RAM per condividere le risorse, puoi salvare una politica relativa alle risorse di Data Catalog come di consueto in AWS Glue. Tuttavia, se sono già state concesse concessioni che prevedono la condivisione AWS RAM delle risorse, è necessario effettuare una delle seguenti operazioni per garantire che la politica di salvataggio delle risorse abbia esito positivo:

  • Quando si salva la politica delle risorse nella pagina Impostazioni del AWS Glue console, la console emette un avviso che indica che le autorizzazioni contenute nella policy si aggiungeranno a tutte le autorizzazioni concesse utilizzando la console Lake Formation. È necessario scegliere Procedi per salvare la politica.

  • Quando si salva la politica delle risorse utilizzando l'glue:PutResourcePolicyAPIoperazione, è necessario impostare il EnableHybrid campo su 'TRUE' (type = string). Il seguente esempio di codice mostra come eseguire questa operazione in Python.

    import boto3 import json REGION = 'us-east-2' PRODUCER_ACCOUNT_ID = '123456789012' CONSUMER_ACCOUNT_IDs = ['111122223333'] glue = glue_client = boto3.client('glue') policy = { "Version": "2012-10-17", "Statement": [ { "Sid": "Cataloguers", "Effect": "Allow", "Action": [ "glue:*" ], "Principal": { "AWS": CONSUMER_ACCOUNT_IDs }, "Resource": [ f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:catalog", f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:database/*", f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:table/*/*" ] } ] } policy = json.dumps(policy) glue.put_resource_policy(PolicyInJson=policy, EnableHybrid='TRUE')

    Per ulteriori informazioni, consulta PutResourcePolicy Action (Python: put_resource_policy) nella Developer Guide.AWS Glue

Quando si concedono autorizzazioni per più account utilizzando il metodo delle risorse denominate Lake Formation

Se nel tuo account (account produttore) non è presente alcuna politica sulle risorse di Data Catalog, Lake Formation garantisce che tu proceda come al solito. Tuttavia, se esiste una politica in materia di risorse di Data Catalog, devi aggiungere la seguente dichiarazione per consentire che le concessioni tra account abbiano esito positivo se vengono effettuate con il metodo delle risorse denominato. Replace (Sostituisci) <region> con un nome di regione valido e <account-id> con l'ID AWS del tuo account (ID account produttore).

{ "Effect": "Allow", "Action": [ "glue:ShareResource" ], "Principal": {"Service": [ "ram.amazonaws.com" ]}, "Resource": [ "arn:aws:glue:<region>:<account-id>:table/*/*", "arn:aws:glue:<region>:<account-id>:database/*", "arn:aws:glue:<region>:<account-id>:catalog" ] }

Senza questa dichiarazione aggiuntiva, la sovvenzione di Lake Formation ha esito positivo, ma viene bloccata e l'account del destinatario non può accedere alla risorsa concessa. AWS RAM

Importante

Quando si utilizza il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC) per concedere concessioni tra account, è necessario disporre di una politica delle risorse del Data Catalog con almeno le autorizzazioni specificate in. Prerequisiti

Consulta anche: