Aggiornamento delle impostazioni della versione di condivisione dei dati tra account - AWS Lake Formation
Principali differenze tra le impostazioni delle versioni per più accountOttimizza la condivisione delle risorse AWS RAMAbilita AWS RAM le condivisioni tramite TBAC o condividi le risorse direttamente con i principaliPer abilitare la nuova versione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiornamento delle impostazioni della versione di condivisione dei dati tra account

Di tanto in tanto, AWS Lake Formation aggiorna le impostazioni di condivisione dei dati tra account per distinguere le modifiche apportate all' AWS RAM utilizzo e per supportare gli aggiornamenti apportati alla funzionalità di condivisione dei dati tra account. Quando Lake Formation esegue questa operazione, crea una nuova versione delle impostazioni della versione dell'account Cross.

Principali differenze tra le impostazioni delle versioni per più account

Per ulteriori informazioni su come funziona la condivisione dei dati tra account in diverse impostazioni di versione di Cross account, consulta le seguenti sezioni.

Nota

Per condividere i dati con un altro account, il concedente deve avere AWSLakeFormationCrossAccountManager gestito le autorizzazioni relative alla policy IAM. Questo è un prerequisito per tutte le versioni.

L'aggiornamento delle impostazioni della versione dell'account Cross non influisce sulle autorizzazioni del destinatario sulle risorse condivise. Ciò è applicabile quando si esegue l'aggiornamento dalla versione 1 alla versione 2, dalla versione 2 alla versione 3 e dalla versione 1 alla versione 3. Per l'aggiornamento delle versioni, consulta le considerazioni elencate di seguito.

Versione 1

Metodo di risorsa denominato: associa ogni autorizzazione concessa tra account Lake Formation a una condivisione di AWS RAM risorse. L'utente (concedente, ruolo o responsabile) non richiede autorizzazioni aggiuntive.

Metodo LF-TBAC: le concessioni di autorizzazioni di Lake Formation tra account non vengono utilizzate per condividere dati. AWS RAM L'glue:PutResourcePolicyutente deve avere l'autorizzazione.

Vantaggi dell'aggiornamento delle versioni: versione iniziale, non applicabile.

Considerazioni sull'aggiornamento delle versioni: Versione iniziale - non applicabile

Versione 2

Metodo della risorsa denominata: ottimizza il numero di condivisioni di AWS RAM risorse mappando più concessioni di autorizzazioni tra account con un'unica condivisione di risorse. AWS RAM L'utente non richiede autorizzazioni aggiuntive.

Metodo LF-TBAC: le concessioni di autorizzazioni di Lake Formation tra account non vengono utilizzate per condividere dati. AWS RAM L'glue:PutResourcePolicyutente deve avere l'autorizzazione.

Vantaggi dell'aggiornamento delle versioni: configurazione scalabile tra più account grazie all'utilizzo ottimale della capacità. AWS RAM

Considerazioni sull'aggiornamento delle versioni: gli utenti che desiderano concedere le autorizzazioni Lake Formation su più account devono disporre delle autorizzazioni nella politica gestita. AWSLakeFormationCrossAccountManager AWS In caso contrario, è necessario disporre ram:AssociateResourceShare delle ram:DisassociateResourceShare autorizzazioni necessarie per condividere correttamente le risorse con un altro account.

Versione 3

Metodo della risorsa denominata: ottimizza il numero di condivisioni di AWS RAM risorse mappando più concessioni di autorizzazioni tra account con un'unica condivisione di risorse. AWS RAM L'utente non richiede autorizzazioni aggiuntive.

Metodo LF-TBAC: Lake Formation utilizza AWS RAM per le sovvenzioni tra account. L'utente deve aggiungere la dichiarazione glue: all'autorizzazione. ShareResource glue:PutResourcePolicy Il destinatario deve accettare gli inviti alla condivisione delle risorse da AWS RAM.

Vantaggi dell'aggiornamento delle versioni: supporta le seguenti funzionalità:

  • Consente di condividere le risorse in modo esplicito con un principale IAM in un account esterno.

    Per ulteriori informazioni, consulta Concessione delle autorizzazioni per le risorse del Data Catalog.

  • Abilita le condivisioni tra account utilizzando il metodo LF-TBAC per Organizzazioni o unità organizzative (). OUs

  • Elimina il sovraccarico derivante dal mantenimento di politiche aggiuntive per le sovvenzioni tra account. AWS Glue

Considerazioni sull'aggiornamento delle versioni: quando si utilizza il metodo LF-TBAC per condividere risorse, se il concedente utilizza una versione precedente alla versione 3 e il destinatario utilizza la versione 3 o successiva, il concedente riceve il seguente messaggio di errore: «Richiesta di concessione tra account non valida. L'account consumer dispone della versione opt-in per più account: v3. Effettua l'aggiornamento CrossAccountVersion DataLakeSetting alla versione minima v3 (Servizio: AmazonDataCatalog; Codice di stato: 400; Codice di errore: InvalidInputException)». Tuttavia, se il concedente utilizza la versione 3 e il destinatario utilizza la versione 1 o la versione 2, le sovvenzioni tra account diversi che utilizzano i tag LF vanno a buon fine.

Le sovvenzioni tra account effettuate utilizzando il metodo della risorsa denominata sono compatibili tra diverse versioni. Anche se l'account concedente utilizza una versione precedente (versione 1 o 2) e l'account del destinatario utilizza una versione più recente (versione 3 o successiva), la funzionalità di accesso tra account funziona senza problemi di compatibilità o errori.

Per condividere le risorse direttamente con i responsabili IAM di un altro account, solo il concedente deve utilizzare la versione 3.

Le sovvenzioni tra account effettuate utilizzando il metodo LF-TBAC richiedono agli utenti di disporre di una politica delle risorse nell'account. AWS Glue Data Catalog Quando si esegue l'aggiornamento alla versione 3, LF-TBAC concede gli utilizzi. AWS RAM Per consentire l'esecuzione delle sovvenzioni AWS RAM basate su più account, è necessario aggiungere la glue:ShareResource dichiarazione alle politiche esistenti in materia di risorse del Data Catalog, come mostrato nella sezione. Gestione delle autorizzazioni tra account utilizzando entrambi AWS Glue e Lake Formation

Versione 4

Il concedente necessita della versione 4 o successiva per condividere le risorse di Data Catalog in modalità di accesso ibrido o condividere oggetti in un catalogo federato.

Ottimizza la condivisione delle risorse AWS RAM

Le nuove versioni (versione 2 e successive) delle sovvenzioni tra account utilizzano in modo ottimale la AWS RAM capacità per massimizzare l'utilizzo tra account. Quando condividi una risorsa con un responsabile IAM Account AWS o esterno, Lake Formation può creare una nuova condivisione di risorse o associare la risorsa a una condivisione esistente. Associandosi alle azioni esistenti, Lake Formation riduce il numero di inviti alla condivisione delle risorse che un consumatore deve accettare.

Abilita AWS RAM le condivisioni tramite TBAC o condividi le risorse direttamente con i principali

Per condividere le risorse direttamente con i responsabili IAM in un altro account o per abilitare le condivisioni TBAC tra account su Organizations o unità organizzative, devi aggiornare le impostazioni della versione Cross account alla versione 3. Per ulteriori informazioni sui limiti delle AWS RAM risorse, consulta. Buone pratiche e considerazioni sulla condivisione dei dati tra account

Autorizzazioni necessarie per l'aggiornamento delle impostazioni delle versioni tra account

Se un concedente di autorizzazioni su più account ha AWSLakeFormationCrossAccountManager gestito le autorizzazioni relative alle policy IAM, non è richiesta alcuna configurazione aggiuntiva delle autorizzazioni per il ruolo o il responsabile del concedente delle autorizzazioni su più account. Tuttavia, se il concedente che concede più account non utilizza la policy gestita, affinché la nuova versione della concessione tra più account abbia successo, al ruolo o al responsabile del concedente devono essere concesse le seguenti autorizzazioni IAM.

  
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
         "ram:AssociateResourceShare",
         "ram:DisassociateResourceShare",
         "ram:GetResourceShares"
       ],
     "Resource": "*",
     "Condition": {
       "StringLike": {
         "ram:ResourceShareName": "LakeFormation*"
        }
      }
    }
  ]
}

Per abilitare la nuova versione

Segui questi passaggi per aggiornare le impostazioni della versione dell'account Cross tramite AWS Lake Formation console o AWS CLI.

Console

  1. Scegli la versione 2, la versione 3 o la versione 4 nelle impostazioni della versione di Cross account nella pagina delle impostazioni del catalogo dati. Se selezioni la versione 1, Lake Formation utilizzerà la modalità di condivisione delle risorse predefinita.

    Data catalog settings page with options for permissions, AWS CloudTrail, and cross account versions.

  2. Seleziona Salva.

AWS Command Line Interface (AWS CLI)

Utilizzate il put-data-lake-settings AWS CLI comando per impostare il CROSS_ACCOUNT_VERSION parametro. I valori accettati sono 1, 2, 3 e 4.

aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
    "DataLakeAdmins": [
        {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/test"
        }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "Parameters": {
        "CROSS_ACCOUNT_VERSION": "3"
    }
}
Importante

Dopo aver scelto la versione 2 o la versione 3, tutte le nuove sovvenzioni per risorse denominate passeranno attraverso la nuova modalità di concessione tra account. Per utilizzare in modo ottimale la AWS RAM capacità delle condivisioni esistenti su più account, ti consigliamo di revocare le sovvenzioni concesse con la versione precedente e di riassegnarle nella nuova modalità.