As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como atualizar as configurações da versão de compartilhamento de dados entre contas
De tempos em tempos, AWS Lake Formation atualiza as configurações de compartilhamento de dados entre contas para distinguir as alterações feitas no AWS RAM uso e para oferecer suporte às atualizações feitas no recurso de compartilhamento de dados entre contas. Quando o Lake Formation faz isso, ele cria uma nova versão das Configurações de versão entre contas.
Principais diferenças entre as versões de Configurações Entre Contas
Para obter mais informações sobre como o compartilhamento de dados entre contas funciona em diferentes versões de Configurações de versão entre contas, consulte as seções a seguir.
nota
Para compartilhar dados com outra conta, o concedente deve ter permissões de política do IAM gerenciadas por AWSLakeFormationCrossAccountManager. Isso é um pré-requisito para todas as versões.
A atualização da versão das Configurações de versão entre contas não afeta as permissões que o destinatário tem nos recursos compartilhados. Isso é aplicável ao atualizar da versão 1 para a versão 2, da versão 2 para a versão 3 e da versão 1 para a versão 3. Veja as considerações listadas abaixo ao atualizar as versões.
- Versão 1
-
Método de recurso nomeado: mapeia cada concessão de permissão entre contas do Lake Formation para um compartilhamento AWS RAM de recursos. O usuário (no perfil de concedente ou entidade principal) não precisa de permissões adicionais.
Método LF-TBAC: as permissões entre contas do Lake Formation não AWS RAM são usadas para compartilhar dados. O usuário deve ter a permissão
glue:PutResourcePolicy.Benefícios da atualização de versões: Versão inicial — não aplicável.
Considerações ao atualizar versões: Versão inicial — não aplicável.
- Versão 2
-
Método de recurso nomeado: otimiza o número de compartilhamentos de AWS RAM recursos mapeando várias concessões de permissão entre contas com um compartilhamento de AWS RAM recursos. Usuários não precisam de permissões adicionais.
Método LF-TBAC: as permissões entre contas do Lake Formation não AWS RAM são usadas para compartilhar dados. O usuário deve ter a permissão
glue:PutResourcePolicy.Benefícios da atualização de versões: configuração escalável entre contas por meio da utilização ideal da capacidade. AWS RAM
Considerações ao atualizar versões: os usuários que desejam conceder permissões entre contas do Lake Formation devem ter as permissões na política
AWSLakeFormationCrossAccountManagerAWS gerenciada. Caso contrário, você precisará ter permissõesram:AssociateResourceShareeram:DisassociateResourceSharepara compartilhar recursos com sucesso com outra conta. - Versão 3
-
Método de recurso nomeado: otimiza o número de compartilhamentos de AWS RAM recursos mapeando várias concessões de permissão entre contas com um compartilhamento de AWS RAM recursos. Usuários não precisam de permissões adicionais.
Método LF-TBAC: o Lake Formation usa AWS RAM para doações entre contas. O usuário deve adicionar cola: ShareResource declaração à
glue:PutResourcePolicypermissão. O destinatário deve aceitar convites de compartilhamento de recursos de. AWS RAMBenefícios da atualização de versões: Suporta os seguintes recursos:
Permite compartilhar recursos explicitamente com uma entidade principal do IAM em uma conta externa.
Para ter mais informações, consulte Conceder e revogar permissões nos recursos do catálogo de dados.
Permite o compartilhamento entre contas usando o método LF-TBAC para organizações ou unidades organizacionais (OUs).
Elimina a sobrecarga de manter AWS Glue políticas adicionais para subsídios entre contas.
Considerações ao atualizar versões: Quando você usa o método LF-TBAC para compartilhar recursos, se o concedente usar uma versão inferior à versão 3 e o destinatário estiver usando a versão 3 ou superior, o concedente receberá a seguinte mensagem de erro: “Solicitação de concessão de contas cruzadas inválida. A conta do consumidor optou pela versão entre contas: v3.
CrossAccountVersionAtualizeDataLakeSettingpara a versão mínima v3 (Serviço: AmazonDataCatalog; Código de status: 400; Código de erro: InvalidInputException)”. No entanto, se o concedente usar a versão 3 e o destinatário estiver usando a versão 1 ou a versão 2, as concessões entre contas usando tags LF serão aprovadas com êxito.As concessões entre contas feitas usando o método de recurso nomeado são compatíveis em diferentes versões. Mesmo que a conta do concedente esteja usando uma versão mais antiga (versão 1 ou 2) e a conta do destinatário esteja usando uma versão mais recente (versão 3 ou superior), a funcionalidade de acesso entre contas funciona perfeitamente sem problemas ou erros de compatibilidade.
Para compartilhar recursos diretamente com as entidades principais do IAM em outra conta, somente o concedente precisa usar a versão 3.
As concessões entre contas feitas usando o método LF-TBAC exigem que os usuários tenham uma política de recursos AWS Glue Data Catalog na conta. Quando você atualiza para a versão 3, o LF-TBAC concede usos do AWS RAM. Para permitir que as concessões AWS RAM baseadas em várias contas sejam bem-sucedidas, você deve adicionar a
glue:ShareResourcedeclaração às suas políticas de recursos existentes do Catálogo de Dados, conforme mostrado na Gerenciamento de permissões entre contas usando o AWS Glue e o Lake Formation seção. - Versão 4
-
O concedente precisa da versão 4 ou superior para compartilhar os recursos do catálogo de dados no modo de acesso híbrido.
Otimize os compartilhamentos AWS RAM de recursos
As novas versões (versão 2 e superior) de concessões entre contas utilizam de forma otimizada a AWS RAM capacidade para maximizar o uso de várias contas. Quando você compartilha um recurso com um diretor externo Conta da AWS ou do IAM, o Lake Formation pode criar um novo compartilhamento de recursos ou associar o recurso a um compartilhamento existente. Ao se associar aos compartilhamentos existentes, o Lake Formation reduz o número de convites de compartilhamento de recursos que um consumidor precisa aceitar.
Habilite AWS RAM compartilhamentos via TBAC ou compartilhe recursos diretamente com os diretores
Para compartilhar recursos diretamente com entidades principais do IAM em outra conta, ou para habilitar compartilhamentos entre contas TBAC para organizações ou unidades organizacionais, é necessário atualizar as Configurações de versão entre contas para a versão 3. Para obter mais informações sobre limites AWS RAM de recursos, consultePráticas recomendadas e considerações sobre compartilhamento de dados entre contas.
Permissões necessárias para atualizar a versão de Configurações Entre Contas
Se um concedente de permissão entre contas tiver permissões de política do IAM gerenciadas por AWSLakeFormationCrossAccountManager, não será necessária nenhuma configuração de permissão extra para o perfil de concedente ou entidade principal para permissão entre contas. No entanto, se o concedente entre contas não estiver usando a política gerenciada, o perfil do concedente ou entidade principal deverá ter as seguintes permissões do IAM concedidas para que a nova versão da concessão entre contas seja bem-sucedida.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:GetResourceShares" ], "Resource": "*", "Condition": { "StringLike": { "ram:ResourceShareName": "LakeFormation*" } } } ] }
Como habilitar a nova versão
Siga estas etapas para atualizar as configurações da versão da conta cruzada por meio do AWS Lake Formation console ou do AWS CLI.
Importante
Após escolher a Versão 2 ou a Versão 3, todas as novas concessões de recursos nomeados passarão pelo novo modo de concessão entre contas. Para otimizar o uso AWS RAM da capacidade de seus compartilhamentos entre contas existentes, recomendamos que você revogue as concessões que foram feitas com a versão mais antiga e conceda novamente no novo modo.
