本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Lake Formation 基于标签的访问控制和命名资源共享数据湖
本教程演示 AWS Lake Formation 如何配置为安全地与多个公司、组织或业务部门共享存储在数据湖中的数据,而不必复制整个数据库。 AWS 账户 通过使用 Lake Formation 跨账户访问控制,有两个选项可以与其他人共享您的数据库和表:
Lake Formation 基于标签的访问控制(推荐)
Lake Formation 基于标签的访问控制是一种授权策略,它根据属性来定义权限。在 Lake Formation 中,这些属性被称为 LF 标签。有关详细信息,请参考 使用 Lake Formation 基于标签的访问控制管理数据湖。
Lake Formation 命名资源
Lake Formation 命名资源方法是一种授权策略,它定义对资源的权限。资源包括数据库、表和列。数据湖管理员可以分配和撤销对 Lake Formation 资源的权限。有关详细信息,请参考 Lake Formation 中的跨账户数据共享。
如果数据湖管理员喜欢显式授予对单个资源的权限,我们建议使用命名资源。当您使用命名资源方法向外部账户授予 Lake Formation 对数据目录资源的权限时,Lake Formation 使用 AWS Resource Access Manager (AWS RAM) 来共享该资源。
主题
目标受众
本教程适用于数据管家、数据工程师和数据分析师。在共享来自 Lake Formation 的数据目录表 AWS Glue 和在 Lake Formation 中管理权限时,生产账户中的数据管理员根据其支持的功能拥有功能所有权,并且可以向各种使用者、外部组织和账户授予访问权限。下表列出了本教程中使用的角色:
| 角色 | 描述 |
|---|---|
| DataLakeAdminProducer | 数据湖管理员IAM用户具有以下访问权限:
|
| DataLakeAdminConsumer |
数据湖管理员IAM用户具有以下访问权限:
|
| DataAnalyst | DataAnalyst 用户具有以下访问权限:
|
在制作者账户中配置 Lake Formation 数据目录设置
在开始本教程之前,你必须有一个 AWS 账户 可以用来以具有正确权限的管理用户身份登录的。有关更多信息,请参阅 完成初始 AWS 配置任务。
本教程假设你熟悉IAM。有关的信息IAM,请参阅《IAM用户指南》。
在制作者账户中配置 Lake Formation 数据目录设置
注意
在本教程中,拥有源表的账户称为制作者账户,需要访问源表的账户称为使用者账户。
Lake Formation 提供了自己的权限管理模型。为了保持与IAM权限模型的向后兼容性,默认情况下会向该组授予IAMAllowedPrincipals对所有现有 AWS Glue Data Catalog 资源的Super权限。此外,还为新的数据目录资源启用了 “仅使用IAM访问控制设置”。本教程使用 Lake Formation 权限使用细粒度访问控制,并使用IAM策略进行粗粒度访问控制。有关详细信息,请参阅 精细访问控制的方法。因此,在使用 AWS CloudFormation 模板进行快速设置之前,需要在制作者账户中更改 Lake Formation 数据目录设置。
重要
此设置会影响所有新创建的数据库和表,因此我们强烈建议使用非生产账户或新账户完成本教程。此外,如果您使用的是共享账户(例如贵公司的开发账户),请确保它不会影响其他资源。如果您希望保留默认安全设置,则在与其他账户共享资源时必须完成一个额外步骤,即撤销 IAMAllowedPrincipals 对数据库或表的默认 Super 权限。我们会在本教程的后面部分中讨论详细信息。
要在制作者账户中配置 Lake Formation 数据目录设置,请完成以下步骤:
以管理员用户或具有 Lake Formation
PutDataLakeSettingsAPI 权限的用户身份 AWS Management Console 使用制作人账户登录。-
在 Lake Formation 控制台的导航窗格中,在数据目录下选择设置。
-
取消选择 “仅对新数据库使用IAM访问控制” 和 “仅对新数据库中的新表使用IAM访问控制”
选择保存。
此外,您可以在管理角色和任务的数据库创建者下删除
IAMAllowedPrincipals的CREATE_DATABASE权限。只有这样,您才能通过 Lake Formation 权限控制谁可以创建新数据库。
步骤 1:使用 AWS CloudFormation 模板配置资源
制作者账户的 CloudFormation 模板生成以下资源:
要用作数据湖的 Amazon S3 存储桶。
一个 Lambda 函数(用于 Lambda 支持的自定义资源 AWS CloudFormation )。我们使用该函数将示例数据文件从公共 Amazon S3 存储桶复制到您的 Amazon S3 存储桶中。
IAM用户和政策: DataLakeAdminProducer。
适当的 Lake Formation 设置和权限,包括:
在制作者账户中定义 Lake Formation 数据湖管理员
将 Amazon S3 存储桶注册为 Lake Formation 数据湖位置(制作者账户)
AWS Glue Data Catalog 数据库、表和分区。由于有两种共享资源的选项 AWS 账户,因此此模板创建了两组独立的数据库和表。
消费者账户的 AWS CloudFormation 模板生成以下资源:
IAM用户和政策:
DataLakeAdminConsumer
DataAnalyst
-
一个 AWS Glue Data Catalog 数据库。此数据库用于创建指向共享资源的资源链接。
在制作者账户中创建您的资源
在美国东部(弗吉尼亚北部)区域的 https://console.aws.amazon.com/cloudformation
登录 AWS CloudFormation 控制台。 选择启动堆栈
。 -
选择下一步。
对于堆栈名称,为堆栈输入名称,如
stack-producer。-
在用户配置部分,输入
ProducerDatalakeAdminUserName和ProducerDatalakeAdminUserPassword的用户名和密码。 -
对于 DataLakeBucketName,请输入您的数据湖存储桶的名称。此名称需要全局唯一。
-
对于DatabaseName和 TableName,保留默认值。
-
选择下一步。
-
在下一页上,选择下一步。
查看最后一页上的详细信息,然后选择我确认这 AWS CloudFormation 可能会创建IAM资源。
选择创建。
堆栈创建过程可能最多需要一分钟。
在使用者账户中创建您的资源
在美国东部(弗吉尼亚北部)区域的 https://console.aws.amazon.com/cloudformation
登录 AWS CloudFormation 控制台。 选择启动堆栈
。 -
选择下一步。
对于堆栈名称,为堆栈输入名称,如
stack-consumer。-
在用户配置部分,输入
ConsumerDatalakeAdminUserName和ConsumerDatalakeAdminUserPassword的用户名和密码。 对于
DataAnalystUserName和DataAnalystUserPassword,为数据分析师用户输入所需的IAM用户名和密码。-
对于 DataLakeBucketName,请输入您的数据湖存储桶的名称。此名称需要全局唯一。
-
对于 DatabaseName,保留默认值。
对于
AthenaQueryResultS3BucketName,输入用于存储 Amazon Athena 查询结果的 Amazon S3 存储桶的名称。如果没有 Amazon S3 存储桶,请创建 Amazon S3 存储桶。-
选择下一步。
-
在下一页上,选择下一步。
查看最后一页上的详细信息,然后选择我确认这 AWS CloudFormation 可能会创建IAM资源。
选择创建。
堆栈创建过程可能最多需要一分钟。
注意
完成教程后,删除中的堆栈 AWS CloudFormation 以免产生费用。根据堆栈的事件状态验证是否已成功删除资源。
第 2 步:Lake Formation 跨账户共享先决条件
在与 Lake Formation 共享资源之前,基于标签的访问控制方法和命名资源方法都需要满足一些先决条件。
完成基于标签的访问控制跨账户数据共享先决条件
-
有关跨账户数据共享要求的更多信息,请参阅“跨账户数据共享”一章中的先决条件一节。
要共享跨账户版本设置为 3 或更高版本的数据目录资源,授予者需要在您的账户中拥有 AWS 托管策略
AWSLakeFormationCrossAccountManager中定义的IAM权限。如果您使用的跨账户版本设置为版本 1 或版本 2,则必须先将以下
JSON权限对象添加到制作者账户中的数据目录资源策略中,然后才能使用基于标签的访问控制方法授予对资源的跨账户访问权限。当glue:EvaluatedByLakeFormationTags为 true 时,这可授予使用者账户访问数据目录的权限。此外,对于您使用 Lake Formation 权限标签向使用者账户授予其权限的资源,此条件也适用。您向其授予权限 AWS 账户 的每一个都需要此策略。以下策略必须位于
Statement元素内。我们将在下一节中讨论完整的IAM政策。{ "Effect": "Allow", "Action": [ "glue:*" ], "Principal": { "AWS": [ "consumer-account-id" ] }, "Resource": [ "arn:aws:glue:region:account-id:table/*", "arn:aws:glue:region:account-id:database/*", "arn:aws:glue:region:account-id:catalog" ], "Condition": { "Bool": { "glue:EvaluatedByLakeFormationTags": true } } }
完成命名资源方法跨账户共享先决条件
-
如果您的账户中没有数据目录资源策略,则您执行的 Lake Formation 跨账户授权将照常进行。但是,如果存在数据目录资源策略,则必须在其中添加以下语句,以便能够成功使用命名资源方法完成跨账户授权。如果您计划仅使用命名资源方法或仅使用基于标签的访问控制方法,则可以跳过这一步。在本教程中,我们评估了这两种方法,并且我们需要添加以下策略。
以下策略必须位于
Statement元素内。我们将在下一节中讨论完整的IAM政策。{ "Effect": "Allow", "Action": [ "glue:ShareResource" ], "Principal": { "Service":"ram.amazonaws.com" }, "Resource": [ "arn:aws:glue:region:account-id:table/*/*", "arn:aws:glue:region:account-id:database/*", "arn:aws:glue:region:account-id:catalog" ] } 接下来,使用 AWS Command Line Interface (AWS CLI) 添加 AWS Glue Data Catalog 资源策略。
如果您同时使用基于标签的访问控制方法和命名资源方法授予跨账户权限,则在添加上述策略时必须将
EnableHybrid参数设置为“true”。因为控制台目前不支持此选项,因此您必须使用glue:PutResourcePolicyAPI和 AWS CLI。首先,创建一个策略文档(例如 policy.json),然后添加上述两个策略。Replace(替换)
consumer-account-id与account ID在 AWS 账户 获得补助金的人中,region数据目录区域包含您要授予权限的数据库和表,以及account-id使用生产者 AWS 账户 ID。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ram.amazonaws.com" }, "Action": "glue:ShareResource", "Resource": [ "arn:aws:glue:region:account-id:table/*/*", "arn:aws:glue:region:account-id:database/*", "arn:aws:glue:region:account-id:catalog" ] }, { "Effect": "Allow", "Principal": { "AWS": "region:account-id" }, "Action": "glue:*", "Resource": [ "arn:aws:glue:region:account-id:table/*/*", "arn:aws:glue:region:account-id:database/*", "arn:aws:glue:region:account-id:catalog" ], "Condition": { "Bool": { "glue:EvaluatedByLakeFormationTags": "true" } } } ] }输入以下 AWS CLI 命令。Replace(替换)
glue-resource-policy使用正确的值(例如 file: //policy.json)。aws glue put-resource-policy --policy-in-jsonglue-resource-policy--enable-hybrid TRUE有关更多信息,请参阅put-resource-policy。
第 3 步:使用基于标签的访问控制方法执行跨账户共享
在本节,我们将引导您完成以下主要步骤:
-
定义 LF 标签。
-
将 LF 标签分配给目标资源。
-
向使用者账户授予 LF 标签权限。
-
向使用者账户授予数据权限。
或者,撤销
IAMAllowedPrincipals对数据库、表和列的权限。创建指向共享表的资源链接。
创建 LF 标签并将其分配给目标数据库。
向使用者账户授予 LF 标签数据权限。
定义 LF 标签
注意
如果您已登录制作者账户,请先退出,然后再完成以下步骤。
以数据湖管理员的身份登录生产者帐户,网址为https://console.aws.amazon.com/lakeformation/
。使用您在创建 AWS CloudFormation 堆栈时指定的生产者账号、IAM用户名(默认为 DatalakeAdminProducer)和密码。在 Lake Formation 控制台 (https://console.aws.amazon.com/lakeformation/
) 的导航窗格中,在 “权限” 下,选择 LF-Tags 和 “权限”。 选择添加 LF 标签。
将 LF 标签分配给目标资源
将 LF 标签分配给目标资源并向其他账户授予数据权限
作为数据湖管理员,您可以向资源附加标签。如果您计划使用单独的角色,则可能需要向单独的角色授予描述并附加权限。
在导航窗格中的数据目录下,选择数据库。
选择目标数据库
(lakeformation_tutorial_cross_account_database_tbac),然后在操作菜单上选择编辑 LF 标签。在本教程中,您可为数据库分配 LF 标签,但也可为表和列分配 LF 标签。
选择分配新的 LF 标签。
添加键
Confidentiality和值public。选择保存。
向使用者账户授予 LF 标签权限
留在制作者账户中,向使用者账户授予访问 LF 标签的权限。
在导航窗格的权限下,选择 LF 标签和权限。
选择 LF-Tags 选项卡,然后选择与消费者账户共享的 LF-Tag 的密钥和值(密钥
Confidentiality和值)。public选择 Grant permissions(授予权限)。
对于权限类型,选择 LF-tag 键值对权限。
对于主体,选择外部账户。
输入目标 AWS 账户 ID。
AWS 账户 同一组织内会自动出现。否则,您必须手动输入 AWS 账户 ID。
在 “权限” 下,选择 “描述”。
这是授予消费者账户的权限。可授予的权限是指使用者账户可以向其他主体授予的权限。
选择授权。
此时,消费者数据湖管理员应该能够在权限、LF-标签和权限下找到通过消费者账户 Lake Formation 控制台共享的策略标签。
向使用者账户授予数据权限
现在,我们将通过指定 LF 标签表达式并授予使用者账户访问与该表达式匹配的任何表或数据库的权限,为使用者账户提供数据访问权限。
在导航窗格中权限下的数据湖权限中,选择授权。
对于委托人,选择外部账户,然后输入目标 AWS 账户 ID。
对于 LF 标签或目录资源,选择与使用者账户(键
Confidentiality和值public)共享的 LF 标签的键和值。对于权限,在通过 LF 标签匹配的资源(推荐)下,选择添加 LF 标签。
选择与使用者账户(键
Confidentiality和值public)共享的标签的键和值。对于数据库权限,选择数据库权限下的描述以授予数据库级别的访问权限。
消费者数据湖管理员应该能够在 Lake Formation 控制台的 “权限” https://console.aws.amazon.com/lakeformation/
、“管理角色和任务” 下的 LF- Tags 下找到通过消费者账户共享的策略标签。 在可授予的权限下选择描述,这样使用者账户就可以向其用户授予数据库级别的权限。
对于表和列权限,选择表权限下的选择和描述。
在可授予的权限下选择选择和描述。
选择授权。
撤销 IAMAllowedPrincipals 对数据库、表和列的权限(可选)。
在本教程的开头,您更改了 Lake Formation 数据目录设置。如果您跳过了该部分,则需要执行这一步。如果您更改了 Lake Formation 数据目录设置,则可以跳过这一步。
在这一步,我们需要撤销 IAMAllowedPrincipals 对数据库或表的默认 Super 权限。有关详细信息,请参阅 步骤 4:将数据存储切换到 Lake Formation 权限模型。
在撤销许可之前IAMAllowedPrincipals,请确保您已通过 Lake Formation 向现有IAM委托人授予必要的许可。这包括三个步骤:
使用 Lake Formation
GetDataAccess操作(使用IAM策略)为目标IAM用户或角色添加IAM权限。向目标IAM用户或角色授予 Lake Formation 数据权限(更改、选择等)。
然后,撤销
IAMAllowedPrincipals的权限。否则,在撤消权限后IAMAllowedPrincipals,现有IAM委托人可能无法再访问目标数据库或数据目录。如果要应用 Lak
IAMAllowedPrincipalse Formation 权限模型(而不是IAM策略模型)来管理使用 Lake Formation 权限模型在一个账户内或多个账户之间的用户访问权限,则需要撤消超级权限。IAMAllowedPrincipals对于要保留传统IAM策略模型的其他表,您不必撤消对这些表的权限。此时,消费者账户数据湖管理员应该能够在 Lake Formation 控制台的数据目录下的数据库中找到通过消费者账户共享的数据库和表。https://console.aws.amazon.com/lakeformation/
如果不能,请确认以下配置是否正确。 为目标数据库和表分配了正确的策略标签和值。
为使用者账户分配了正确的标签权限和数据权限。
撤销
IAMAllowedPrincipals对数据库或表的默认 Super 权限。
创建指向共享表的资源链接。
当在账户之间共享资源时,共享的资源未置于使用者账户的数据目录中。为了使它们可用,并使用 Athena 等服务查询共享表的基础数据,我们需要创建一个指向共享表的资源链接。资源链接是一个数据目录对象,它是指向本地或共享数据库或表的链接。有关详细信息,请参阅创建资源链接。通过创建资源链接,您可以:
为数据库或表分配一个与您的数据目录资源命名策略相符的不同名称。
使用 Athena 和 Redshift Spectrum 等服务查询共享的数据库或表。
要创建资源链接,请完成以下步骤:
如果您已登录使用者账户,请退出。
以使用者账户数据湖管理员身份登录。使用您在创建 AWS CloudFormation 堆栈时指定的消费者账户 ID、IAM用户名(默认 DatalakeAdminConsumer)和密码。
在 Lake Formation 控制台 (https://console.aws.amazon.com/lakeformation/
) 的导航窗格中,在数据目录、数据库下,选择共享数据库 lakeformation_tutorial_cross_account_database_tbac。如果看不到该数据库,请回顾前面的步骤,看一看是否所有配置均正确。
选择查看详细信息。
选择共享表
amazon_reviews_table_tbac。在操作菜单上,选择创建资源链接。
对于资源链接名称,输入名称(在本教程中,为
amazon_reviews_table_tbac_resource_link)。在 “数据库” 下,选择在其中创建资源链接的数据库(对于这篇文章, AWS CloudFormation n 堆栈创建了数据库
lakeformation_tutorial_cross_account_database_consumer)。选择创建。
资源链接显示在数据目录的表中。
创建 LF 标签并将其分配给目标数据库
Lake Formation 标签与资源位于同一个数据目录中。这意味着在向使用者账户中的资源链接授予访问权限时,无法使用在制作者账户中创建的标签。您需要在使用者账户中创建一组单独的 LF 标签,以便在共享使用者账户中的资源链接时使用基于 LF 标签的访问控制。
在使用者账户中定义 LF 标签。在本教程中,我们使用键
Division和值sales、marketing和analyst。将 LF 标签键
Division和值analyst分配给在其中创建资源链接的数据库lakeformation_tutorial_cross_account_database_consumer。
向使用者授予 LF 标签数据权限
最后一步,向使用者授予 LF 标签数据权限。
在导航窗格中权限下的数据湖权限中,选择授权。
对于委托人,选择IAM用户和角色,然后选择用户
DataAnalyst。对于 LF 标签或目录资源,选择通过 LF 标签匹配的资源(推荐)。
选择键 Division 和值 analyst。
对于数据库权限,选择数据库权限下的描述。
对于表和列权限,选择表权限下的选择和描述。
选择授权。
对用户
DataAnalyst重复这些步骤,其中 LF 标签键为Confidentiality,值为public。此时,消费者账户中的数据分析师用户应该能够找到数据库和资源链接,并通过 Athena 控制台查询共享表,网址为。https://console.aws.amazon.com/athena/
如果不能,请确认以下配置是否正确。 已为共享表创建资源链接
您已授予该用户访问通过制作者账户共享的 LF 标签的权限
您已授予该用户访问与资源链接和在其中创建资源链接的数据库关联的 LF 标签的权限
检查是否为资源链接和在其中创建资源链接的数据库分配了正确的 LF 标签
第 4 步:实施命名资源方法
为了使用命名资源方法,我们将引导您完成以下主要步骤:
(可选)撤销
IAMAllowedPrincipals对数据库、表和列的权限。向使用者账户授予数据权限。
接受来自的资源共享 AWS Resource Access Manager。
为共享表创建资源链接。
向使用者授予对共享表的数据权限。
向使用者授予对资源链接的数据权限。
撤销 IAMAllowedPrincipals 对数据库、表和列的权限(可选)
-
在本教程的开头,我们更改了 Lake Formation 数据目录设置。如果您跳过了该部分,则需要执行这一步。有关说明,请参阅上一节中的可选步骤。
向使用者账户授予数据权限
-
注意
如果您以其他用户身份登录了制作者账户,请先退出。
使用创建者账户数据湖管理员https://console.aws.amazon.com/lakeformation/
使用 AWS CloudFormation 堆栈创建期间指定的 AWS 账户 ID、IAM用户名(默认为 DatalakeAdminProducer)和密码登录 Lake Formation 控制台。 在权限页面上的数据湖权限下,选择授权。
在委托人下,选择外部帐户,然后输入一个或多个 AWS 账户 IDs或 AWS 组织IDs。有关更多信息,请参阅 AWS 组织
。 制作者账户所属且 AWS 账户 位于同一组织内的组织会自动出现。否则,请手动输入账户 ID 或组织 ID。
对于 LF 标签或目录资源,选择
Named data catalog resources。在数据库下,选择数据库
lakeformation_tutorial_cross_account_database_named_resource。选择添加 LF 标签。
在表下,选择所有表。
对于表列权限,在表权限下选择选择和描述。
在可授予的权限下选择选择和描述。
或者,对于数据权限,如果需要进行列级别权限管理,请选择基于列的简单访问权限。
选择授权。
如果您尚未撤销 IAMAllowedPrincipals 的权限,则会遇到授予权限失败错误。此时,您应该在 “权限”、“数据权限” 下看到目标表是通过 AWS RAM 与消费者账户共享的。
接受来自的资源共享 AWS RAM
注意
此步骤仅适用于 AWS 账户基于组织的共享,不适用于基于组织的共享。
使用消费者账户数据湖管理员https://console.aws.amazon.com/connect/
使用 AWS CloudFormation 堆栈创建期间指定的IAM用户名(默认为 DatalakeAdminConsumer)和密码登录 AWS 控制台。 在 AWS RAM 控制台的导航窗格中,在 “与我共享”、“资源共享” 下,选择共享的 Lake Formation 资源。状态应为待处理。
选择操作和授权。
确认资源详细信息,然后选择接受资源共享。
此时,消费者账户数据湖管理员应该能够在 Lake Formation 控制台 (https://console.aws.amazon.com/lakeformation/
) 的数据目录、数据库下找到共享资源。
为共享表创建资源链接
按照第 3 步:使用基于标签的访问控制方法执行跨账户共享(第 6 步)中的说明为共享表创建资源链接。命名资源链接
amazon_reviews_table_named_resource_resource_link。在数据库lakeformation_tutorial_cross_account_database_consumer中创建资源链接。
向使用者授予对共享表的数据权限
要向使用者授予对共享表的数据权限,请完成以下步骤:
在 Lake FormationConsole (https://console.aws.amazon.com/lakeformation/
) 上,在 “权限”、“数据湖权限” 下,选择 “授予”。 对于委托人,选择IAM用户和角色,然后选择用户
DataAnalyst。对于 LF 标签或目录资源,选择命名数据目录资源。
在数据库下,选择数据库
lakeformation_tutorial_cross_account_database_named_resource。如果在下拉列表中看不到该数据库,请选择加载更多。在表下,选择表
amazon_reviews_table_named_resource。对于表和列权限,选择表权限下的选择和描述。
选择授权。
向使用者授予对资源链接的数据权限
除了向数据湖用户授予访问共享表的权限外,您还需要向数据湖用户授予访问资源链接的权限。
在 Lake Formation 控制台 (https://console.aws.amazon.com/lakeformation/
) 上,在 “权限”、“数据湖权限” 下,选择 “授予”。 对于委托人,选择IAM用户和角色,然后选择用户
DataAnalyst。对于 LF 标签或目录资源,选择命名数据目录资源。
在数据库下,选择数据库
lakeformation_tutorial_cross_account_database_consumer。如果在下拉列表中看不到该数据库,请选择加载更多。在表下,选择表
amazon_reviews_table_named_resource_resource_link。对于资源链接权限,在资源链接权限下选择描述。
选择授权。
此时,使用者账户中的数据分析师用户应该能够找到数据库和资源链接,并通过 Athena 控制台查询共享表。
如果不能,请确认以下配置是否正确。
已为共享表创建资源链接
您已授予用户访问通过制作者账户共享的表的权限
您已授予用户访问资源链接和为其创建资源链接的数据库的权限
步骤 5:清理 AWS 资源
为了防止向你收取不必要的费用 AWS 账户,你可以删除用于本教程的 AWS 资源。
-
https://console.aws.amazon.com/lakeformation/
使用制作人账户登录 Lake Formation 控制台,然后删除或更改以下内容: AWS Resource Access Manager 资源共享
Lake Formation 标签
AWS CloudFormation 堆栈
Lake Formation 设置
AWS Glue Data Catalog
https://console.aws.amazon.com/lakeformation/
使用消费者账户登录 Lake Formation 控制台,然后删除或更改以下内容: Lake Formation 标签
AWS CloudFormation 堆栈
