更新跨帳戶資料共用版本設定 - AWS Lake Formation
跨帳戶版本設定的主要差異最佳化 AWS RAM 資源共用啟用透過 AWS RAM 共用TBAC或直接將 資源共用給委託人啟用新版本

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

更新跨帳戶資料共用版本設定

不時 AWS Lake Formation 更新跨帳戶資料共用設定,以區分對 AWS RAM 用量所做的變更,並支援跨帳戶資料共用功能的更新。當 Lake Formation 執行此操作時,它會建立新的跨帳戶版本設定版本

跨帳戶版本設定的主要差異

如需跨帳戶資料共用在不同跨帳戶版本設定下運作方式的詳細資訊,請參閱下列章節。

注意

若要與其他帳戶共用資料,授予者必須具有AWSLakeFormationCrossAccountManager受管IAM政策許可。這是所有版本的先決條件。

更新跨帳戶版本設定不會影響收件人對共用資源的許可。這適用於從第 1 版更新至第 2 版、第 2 版更新至第 3 版,以及第 1 版更新至第 3 版。更新版本時,請參閱下列考量事項。

第 1 版

命名資源方法:將每個跨帳戶 Lake Formation 許可授予對應至一個 AWS RAM 資源共用。使用者 (匯款人角色或委託人) 不需要額外的許可。

LF-TBAC 方法:跨帳戶 Lake Formation 許可授予不會用來 AWS RAM 共用資料。使用者必須具有glue:PutResourcePolicy許可。

更新版本的好處:初始版本 - 不適用。

更新版本時的考量事項:初始版本 - 不適用

2 版

命名資源方法:透過映射具有一個 AWS RAM 資源共用的多個跨帳戶許可授予,來最佳化 AWS RAM 資源共用的數量。使用者不需要額外的許可。

LF-TBAC 方法:跨帳戶 Lake Formation 許可授予不會用來 AWS RAM 共用資料。使用者必須具有glue:PutResourcePolicy許可。

更新版本的好處:透過 AWS RAM 容量的最佳使用率來擴展跨帳戶設定。

更新版本時的考量:想要授予跨帳戶 Lake Formation 許可的使用者,必須在 AWSLakeFormationCrossAccountManager AWS 受管政策中擁有許可。否則,您需要具有 ram:AssociateResourceShareram:DisassociateResourceShare許可,才能成功與其他 帳戶共用資源。

第 3 版

命名資源方法:透過映射具有一個 AWS RAM 資源共用的多個跨帳戶許可授予來最佳化 AWS RAM 資源共用的數量。使用者不需要額外的許可。

LF-TBAC 方法:Lake Formation AWS RAM 用於跨帳戶授予。使用者必須將 glue:ShareResource statement 新增至glue:PutResourcePolicy許可。收件人必須接受來自 的資源共用邀請 AWS RAM。

更新版本的好處:支援下列功能:

  • 允許與外部帳戶中的IAM主體明確共用資源。

    如需詳細資訊,請參閱授予 Data Catalog 資源的許可

  • 使用 LF TBAC方法對組織或組織單位 () 啟用跨帳戶共用OUs。

  • 移除維護跨帳戶授與之其他 AWS Glue 政策的開銷。

更新版本時的考量事項:當您使用 LF-TBAC 方法共享資源時,如果授予者使用低於第 3 版的版本,且接收者使用第 3 版或更高版本,則授予者會收到下列錯誤訊息:「無效的跨帳戶授予請求。消費者帳戶可選擇加入跨帳戶版本:v3。請將 CrossAccountVersion 更新DataLakeSetting至最低版本 v3 (服務: AmazonDataCatalog;狀態碼:400;錯誤碼: InvalidInputException)"。不過,如果授予者使用第 3 版,且收件人使用第 1 版或第 2 版,則使用 LF 標籤的跨帳戶授予會順利完成。

使用具名資源方法進行的跨帳戶授予在不同版本之間相容。即使授予者帳戶使用較舊的版本 (第 1 版或第 2 版),且收件人帳戶使用較新的版本 (第 3 版或更高版本),跨帳戶存取功能也會順暢運作,而不會發生任何相容性問題或錯誤。

若要直接與另一個帳戶中的IAM委託人共用資源,只有授予者需要使用第 3 版。

使用 LF-TBAC 方法進行的跨帳戶授予需要使用者在帳戶中擁有 AWS Glue Data Catalog 資源政策。當您更新到第 3 版時,LF-TBAC 授予會使用 AWS RAM。若要允許 AWS RAM 以 為基礎的跨帳戶授予成功,您必須將glue:ShareResource陳述式新增至現有的 Data Catalog 資源政策,如 使用兩者管理跨帳戶許可 AWS Glue 和 Lake Formation一節所示。

第 4 版

授予者需要第 4 版或更高版本,才能在混合存取模式下共用 Data Catalog 資源。

最佳化 AWS RAM 資源共用

跨帳戶授與的新版本 (第 2 版及更高版本) 會最佳化地利用 AWS RAM 容量來最大化跨帳戶用量。當您與外部 AWS 帳戶 或IAM委託人共用資源時,Lake Formation 可能會建立新的資源共用,或將資源與現有共用建立關聯。Lake Formation 透過與現有共用建立關聯,減少消費者需要接受的資源共用邀請數量。

啟用透過 AWS RAM 共用TBAC或直接將 資源共用給委託人

若要直接與另一個帳戶中的IAM主體共用資源,或啟用TBAC跨帳戶共用至組織或組織單位,您需要將跨帳戶版本設定更新至版本 3。如需 AWS RAM 資源限制的詳細資訊,請參閱 跨帳戶資料共用最佳實務和考量事項

更新跨帳戶版本設定所需的許可

如果跨帳戶許可授予者具有AWSLakeFormationCrossAccountManager受管IAM政策許可,則跨帳戶許可授予者角色或委託人不需要額外的許可設定。不過,如果跨帳戶授予者未使用受管政策,則授予者角色或委託人應具有下列IAM許可,才能讓跨帳戶授予的新版本成功。

  
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
         "ram:AssociateResourceShare",
         "ram:DisassociateResourceShare",
         "ram:GetResourceShares"
       ],
     "Resource": "*",
     "Condition": {
       "StringLike": {
         "ram:ResourceShareName": "LakeFormation*"
        }
      }
    }
  ]
}

啟用新版本

請依照下列步驟,透過 更新跨帳戶版本設定 AWS Lake Formation 主控台或 AWS CLI。

Console

  1. 資料目錄設定頁面上的跨帳戶版本設定下,選擇第 2 版、第 3 版或第 4 版。如果您選擇第 1 版,Lake Formation 將使用預設資源共用模式。

    Data catalog settings page with options for permissions, AWS CloudTrail, and cross account versions.

  2. 選擇 Save (儲存)。

AWS Command Line Interface (AWS CLI)

使用 put-data-lake-settings AWS CLI 命令來設定 CROSS_ACCOUNT_VERSION 參數。可接受的值為 1、2、3 和 4。

aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
    "DataLakeAdmins": [
        {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/test"
        }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "Parameters": {
        "CROSS_ACCOUNT_VERSION": "3"
    }
}
重要

選擇第 2 版或第 3 版後,所有新的具名資源授予都會經過新的跨帳戶授予模式。若要最佳化現有跨帳戶共用的 AWS RAM 容量,建議您撤銷使用舊版所發出的授予,並在新模式中重新授予。