Pré-requisitos - AWS Lake Formation

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Pré-requisitos

Antes que sua AWS conta possa compartilhar recursos do Catálogo de Dados (bancos de dados e tabelas) com outra conta ou diretores em outra conta, e antes que você possa acessar os recursos compartilhados com sua conta, os seguintes pré-requisitos devem ser atendidos.

Requisitos gerais de compartilhamento de dados entre contas

  • Para compartilhar bancos de dados e tabelas do catálogo de dados no modo de acesso híbrido, você precisa atualizar as Configurações de versão entre contas para a Versão 4.

  • Antes de conceder permissões entre contas em um recurso do catálogo de dados, você deve revogar todas as permissões do Lake Formation do grupo IAMAllowedPrincipals para o recurso. Se a entidade principal solicitante tiver permissões entre contas para acessar um recurso, e a permissão IAMAllowedPrincipals existir no recurso, Lake Formation exibirá AccessDeniedException.

    Esse requisito é válido somente quando você registra a localização dos dados subjacentes no modo Lake Formation. Se você registrar a localização dos dados no modo híbrido, as permissões do grupo IAMAllowedPrincipals poderão existir no banco de dados ou na tabela compartilhada.

  • Nos bancos de dados que contêm tabelas que você cogita compartilhar, é necessário evitar que novas tabelas tenham uma concessão padrão de Super para IAMAllowedPrincipals. No console do Lake Formation, edite o banco de dados e desative Usar somente o controle de acesso do IAM para novas tabelas nesse banco de dados ou insira o AWS CLI comando a seguir, database substituindo-o pelo nome do banco de dados. Se a localização dos dados subjacentes estiver registrada no modo de acesso híbrido, você não precisará alterar essa configuração padrão. No modo de acesso híbrido, o Lake Formation permite que você aplique seletivamente as permissões do Lake Formation e as políticas de permissões do IAM para o Amazon S3 AWS Glue e no mesmo recurso.

    
aws glue update-database --name database --database-input '{"Name":"database","CreateTableDefaultPermissions":[]}'

  • Para conceder permissões entre contas, o concedente deve ter as permissões necessárias AWS Identity and Access Management (IAM) sobre AWS Glue o serviço. AWS RAM A política AWS gerenciada AWSLakeFormationCrossAccountManager concede as permissões necessárias.

    Os administradores de data lake em contas que recebem compartilhamentos de recursos usando AWS RAM devem ter a seguinte política adicional. Ele permite que o administrador aceite convites AWS RAM de compartilhamento de recursos. Permitir também que o administrador habilite o compartilhamento de recursos com organizações.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:RejectResourceShareInvitation",
                "ec2:DescribeAvailabilityZones",
                "ram:EnableSharingWithAwsOrganization"
            ],
            "Resource": "*"
        }
    ]
}

  • Se você quiser compartilhar recursos do Catálogo de Dados com AWS Organizations ou com unidades organizacionais, o compartilhamento com organizações deve estar ativado em AWS RAM.

    Para obter informações sobre como habilitar o compartilhamento com organizações, consulte Habilitar o compartilhamento com AWS organizações no Guia AWS RAM do usuário.

    Você deve ter a permissão ram:EnableSharingWithAwsOrganization para habilitar o compartilhamento com organizações.

  • Para compartilhar recursos diretamente com uma entidade principal do IAM em outra conta, você precisa atualizar as Configurações Versão Entre Contas para a Versão 3. Essa configuração está disponível na página de Configurações do catálogo de dados. Se você estiver usando a Versão 1, consulte as instruções para atualizar a configuraçãoComo atualizar as configurações da versão de compartilhamento de dados entre contas.

  • Você não pode compartilhar recursos do Catálogo de Dados criptografados com a chave gerenciada do AWS Glue serviço com outra conta. Você pode compartilhar somente recursos do catálogo de dados criptografados com a chave de criptografia do cliente, e a conta que recebe o compartilhamento de recursos deve ter permissões na chave de criptografia do catálogo de dados para descriptografar os objetos.

Compartilhamento de dados entre contas usando os requisitos do LF-TBAC

  • Para compartilhar recursos do Catálogo de Dados com AWS Organizations unidades organizacionais (OUs), você precisa atualizar as configurações da versão da conta cruzada para a versão 3.

  • Para compartilhar os recursos do catálogo de dados com a versão 3 das Configurações de versão entre contas, o concedente precisa ter as permissões de IAM definidas na política AWSLakeFormationCrossAccountManager gerenciada por AWS em sua conta.

  • Se você estiver usando a versão 1 ou a versão 2 das Configurações de versão entre contas, deverá ter uma política de recursos do catálogo de dados (glue:PutResourcePolicy) que habilite o LF-TBAC. Para ter mais informações, consulte Gerenciamento de permissões entre contas usando o AWS Glue e o Lake Formation.

  • Se você estiver usando atualmente uma política de recursos do catálogo de dados AWS Glue para compartilhar recursos e quiser conceder permissões entre contas usando a versão 3 das Configurações de versão entre contas, deverá adicionar a permissão glue:ShareResource nas Configurações do catálogo de dados usando a operação de API glue:PutResourcePolicy, conforme mostrado na seção Gerenciamento de permissões entre contas usando o AWS Glue e o Lake Formation. Essa política não é necessária se sua conta não fez concessões entre contas usando a política de recursos do catálogo de dados AWS Glue (permissão de uso glue:PutResourcePolicy da versão 1 e versão 2) para conceder acesso entre contas. 

    {
      "Effect": "Allow",
      "Action": [
        "glue:ShareResource"
      ],
      "Principal": {"Service": [
        "ram.amazonaws.com"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:<account-id>:table/*/*",
        "arn:aws:glue:<region>:<account-id>:database/*",
        "arn:aws:glue:<region>:<account-id>:catalog"
      ]
    }

  • Se sua conta fez compartilhamentos entre contas usando a política de recursos do catálogo de dados AWS Glue e você está usando o método de recurso nomeado ou LF-TBAC com a versão 3 das Configurações de versão entre contas para compartilhar recursos, que usam AWS RAM para compartilhar recursos, você deve definir o argumento EnableHybrid para 'true' quando invocar a operação da API glue:PutResourcePolicy. Para ter mais informações, consulte Gerenciamento de permissões entre contas usando o AWS Glue e o Lake Formation.

Configuração necessária em cada conta que acessa o recurso compartilhado

  • Se você estiver compartilhando recursos com Contas da AWS, pelo menos um usuário na conta do consumidor deve ser administrador do data lake para visualizar os recursos compartilhados. Para obter informações sobre como criar um administrador de data lake, consulte Crie um administrador de data lake.

    O administrador do data lake pode conceder permissões do Lake Formation sobre os recursos compartilhados com outras entidades principais da conta. Outras entidades principais não podem acessar recursos compartilhados até que o administrador do data lake conceda permissões sobre os recursos.

  • Serviços integrados, como o Athena e o Redshift Spectrum, exigem links de recursos para poder incluir recursos compartilhados nas consultas. Entidades principais precisam criar um link de recurso em seu catálogo de dados para um recurso compartilhado de outra Conta da AWS. Para obter mais informações sobre os links de recursos, consulte Como os links de recursos funcionam no Lake Formation.

  • Quando um recurso é compartilhado diretamente com uma entidade principal do IAM, para consultar a tabela usando o Athena, a entidade principal precisa criar um link de recurso. Para criar um link de recurso, a entidade principal precisa da permissão CREATE_TABLE ou CREATE_DATABASE do Lake Formation, e da permissão glue:CreateTable ou glue:CreateDatabase do IAM.

    Se a conta do produtor compartilhar uma tabela diferente no mesmo banco de dados com o mesmo ou outra entidade principal, esse principal poderá consultar imediatamente a tabela.

nota

Para o administrador do data lake e para as entidades principais às quais o administrador do data lake concedeu permissões, os recursos compartilhados aparecem no catálogo de dados como se fossem recursos locais (de propriedade). Tarefas de extração, transformação e carregamento (ETL) podem acessar os dados subjacentes dos recursos compartilhados.

Para recursos compartilhados, as páginas Tabelas e bancos de dados no console do Lake Formation exibem o ID da conta do proprietário.

Quando os dados subjacentes de um recurso compartilhado são acessados, os eventos de CloudTrail registro são gerados na conta do destinatário do recurso compartilhado e na conta do proprietário do recurso. Os CloudTrail eventos podem conter o ARN do principal que acessou os dados, mas somente se a conta do destinatário optar por incluir o ARN principal nos registros. Para ter mais informações, consulte Registro em várias contas CloudTrail .