Voraussetzungen - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen

Bevor Ihr AWS Konto Datenkatalogressourcen (Datenbanken und Tabellen) mit einem anderen Konto oder Principals in einem anderen Konto gemeinsam nutzen kann und bevor Sie auf die mit Ihrem Konto geteilten Ressourcen zugreifen können, müssen die folgenden Voraussetzungen erfüllt sein.

Allgemeine Anforderungen an die kontenübergreifende gemeinsame Nutzung von Daten

  • Um Data Catalog-Datenbanken und -Tabellen im Hybridzugriffsmodus gemeinsam zu nutzen, müssen Sie die Einstellungen für die kontoübergreifende Version auf Version 4 aktualisieren.

  • Bevor Sie kontenübergreifende Berechtigungen für eine Datenkatalogressource gewähren, müssen Sie der IAMAllowedPrincipals Gruppe alle Lake Formation Formation-Berechtigungen für die Ressource entziehen. Wenn der aufrufende Principal kontoübergreifende Berechtigungen für den Zugriff auf eine Ressource hat und die IAMAllowedPrincipals Berechtigung für die Ressource vorhanden ist, wird Lake Formation ausgelöst. AccessDeniedException

    Diese Anforderung gilt nur, wenn Sie den zugrunde liegenden Datenstandort im Lake Formation Formation-Modus registrieren. Wenn Sie den Datenstandort im Hybridmodus registrieren, können die IAMAllowedPrincipals Gruppenberechtigungen für die gemeinsam genutzte Datenbank oder Tabelle vorhanden sein.

  • Bei Datenbanken, die Tabellen enthalten, die Sie gemeinsam nutzen möchten, müssen Sie verhindern, dass für neue Tabellen die Standardzuteilung Super bis festgelegt wirdIAMAllowedPrincipals. Bearbeiten Sie in der Lake Formation Formation-Konsole die Datenbank und deaktivieren Sie Nur IAM Zugriffskontrolle für neue Tabellen in dieser Datenbank verwenden, oder geben Sie den folgenden AWS CLI Befehl ein und database ersetzen Sie ihn durch den Namen der Datenbank. Wenn der zugrunde liegende Datenstandort im Hybridzugriffsmodus registriert ist, müssen Sie diese Standardeinstellung nicht ändern. Im Hybridzugriffsmodus ermöglicht Ihnen Lake Formation die selektive Durchsetzung Lake Formation IAM Formation-Berechtigungen und Berechtigungsrichtlinien für Amazon S3 und AWS Glue für dieselbe Ressource.

    
aws glue update-database --name database --database-input '{"Name":"database","CreateTableDefaultPermissions":[]}'

  • Um kontoübergreifende Berechtigungen zu gewähren, muss der Gewährer über die erforderlichen AWS Identity and Access Management () IAM Berechtigungen für verfügen AWS Glue und AWS RAM Service. Die AWS verwaltete Richtlinie AWSLakeFormationCrossAccountManager gewährt die erforderlichen Berechtigungen.

    Für Data Lake-Administratoren mit Konten, die gemeinsam genutzte Ressourcen nutzen, AWS RAM muss die folgende zusätzliche Richtlinie gelten. Sie ermöglicht es dem Administrator, Einladungen zur gemeinsamen AWS RAM Nutzung von Ressourcen anzunehmen. Es ermöglicht dem Administrator auch, die gemeinsame Nutzung von Ressourcen mit Organisationen zu aktivieren.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:RejectResourceShareInvitation",
                "ec2:DescribeAvailabilityZones",
                "ram:EnableSharingWithAwsOrganization"
            ],
            "Resource": "*"
        }
    ]
}

  • Wenn Sie Datenkatalogressourcen für unsere Organisationseinheiten gemeinsam nutzen möchten, muss die gemeinsame Nutzung für Organisationen in aktiviert sein AWS RAM. AWS Organizations

    Informationen zum Aktivieren der gemeinsamen Nutzung mit Organisationen finden Sie unter Aktivieren der gemeinsamen Nutzung mit AWS Organisationen im AWS RAM Benutzerhandbuch.

    Sie müssen über die ram:EnableSharingWithAwsOrganization entsprechende Berechtigung verfügen, um das Teilen mit Organisationen zu aktivieren.

  • Um Ressourcen direkt mit einem IAM Principal in einem anderen Konto gemeinsam zu nutzen, müssen Sie die Einstellungen für die kontoübergreifende Version auf Version 3 aktualisieren. Diese Einstellung ist auf der Seite mit den Datenkatalogeinstellungen verfügbar. Wenn Sie Version 1 verwenden, lesen Sie die Anweisungen zum Aktualisieren der EinstellungDie Versionseinstellungen für den kontenübergreifenden Datenaustausch werden aktualisiert.

  • Sie können Datenkatalogressourcen, die mit einem vom AWS Glue Service verwalteten Schlüssel verschlüsselt wurden, nicht mit einem anderen Konto teilen. Sie können nur Datenkatalogressourcen gemeinsam nutzen, die mit dem Verschlüsselungsschlüssel des Kunden verschlüsselt wurden, und das Konto, das die gemeinsame Nutzung der Ressource erhält, muss über Berechtigungen für den Datenkatalog-Verschlüsselungsschlüssel verfügen, um die Objekte zu entschlüsseln.

Kontoübergreifender Datenaustausch unter Verwendung von LF-Anforderungen TBAC

  • Um Datenkatalogressourcen mit AWS Organizations Organisationseinheiten (OUs) gemeinsam zu nutzen, müssen Sie die Einstellungen für die kontoübergreifende Version auf Version 3 aktualisieren.

  • Um Datenkatalogressourcen mit Version 3 der Einstellungen für die kontoübergreifende Version gemeinsam nutzen zu können, muss der Anbieter über die in der AWS verwalteten Richtlinie definierten IAM Berechtigungen AWSLakeFormationCrossAccountManager in Ihrem Konto verfügen.

  • Wenn Sie Version 1 oder Version 2 der Einstellungen für die kontoübergreifende Version verwenden, benötigen Sie eine Datenkatalog-Ressourcenrichtlinie (glue:PutResourcePolicy), die LF- TBAC aktiviert. Weitere Informationen finden Sie unter Verwaltung kontenübergreifender Berechtigungen mit beiden AWS Glue und Lake Formation.

  • Wenn Sie derzeit eine verwenden AWS Glue Datenkatalog-Ressourcenrichtlinie zur gemeinsamen Nutzung von Ressourcen und Sie möchten kontoübergreifende Berechtigungen mit Version 3 der Einstellungen der kontenübergreifenden Version gewähren, müssen Sie die glue:ShareResource Berechtigung in den Datenkatalogeinstellungen hinzufügen. Gehen Sie glue:PutResourcePolicy API dazu wie im Verwaltung kontenübergreifender Berechtigungen mit beiden AWS Glue und Lake Formation Abschnitt beschrieben vor. Diese Richtlinie ist nicht erforderlich, wenn Ihr Konto keine kontoübergreifenden Zuschüsse mithilfe der AWS Glue Ressourcenrichtlinie für den Datenkatalog (glue:PutResourcePolicyNutzungsberechtigung für Version 1 und Version 2) zur Gewährung von kontenübergreifendem Zugriff. 

    {
      "Effect": "Allow",
      "Action": [
        "glue:ShareResource"
      ],
      "Principal": {"Service": [
        "ram.amazonaws.com"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:<account-id>:table/*/*",
        "arn:aws:glue:<region>:<account-id>:database/*",
        "arn:aws:glue:<region>:<account-id>:catalog"
      ]
    }

  • Wenn Ihr Konto kontoübergreifende Anteile getätigt hat AWS Glue Datenkatalog-Ressourcenrichtlinie und Sie verwenden derzeit die benannte Ressourcenmethode oder LF- TBAC mit kontoübergreifenden Einstellungen Version 3, um Ressourcen gemeinsam AWS RAM zu nutzen, müssen Sie das EnableHybrid Argument auf setzen, 'true' wenn Sie den glue:PutResourcePolicy API Vorgang aufrufen. Weitere Informationen finden Sie unter Verwaltung kontenübergreifender Berechtigungen mit beiden AWS Glue und Lake Formation.

Für jedes Konto, das auf die gemeinsam genutzte Ressource zugreift, ist eine Einrichtung erforderlich

  • Wenn Sie Ressourcen gemeinsam nutzen AWS-Konten, muss mindestens ein Benutzer im Kundenkonto ein Data Lake-Administrator sein, um gemeinsam genutzte Ressourcen anzeigen zu können. Informationen zum Erstellen eines Data Lake-Administrators finden Sie unterErstellen Sie einen Data Lake-Administrator.

    Der Data Lake-Administrator kann anderen Prinzipalen im Konto Lake Formation Formation-Berechtigungen für die gemeinsam genutzten Ressourcen gewähren. Andere Principals können erst dann auf gemeinsam genutzte Ressourcen zugreifen, wenn der Data Lake-Administrator ihnen Berechtigungen für die Ressourcen erteilt.

  • Integrierte Dienste wie Athena und Redshift Spectrum benötigen Ressourcenlinks, um gemeinsam genutzte Ressourcen in Abfragen einbeziehen zu können. Principals müssen in ihrem Datenkatalog einen Ressourcenlink zu einer gemeinsam genutzten Ressource von einer anderen erstellen. AWS-Konto Weitere Informationen zu Ressourcenlinks finden Sie unterFunktionsweise von Ressourcenverbindungen in Lake Formation.

  • Wenn eine Ressource direkt mit einem IAM Principal gemeinsam genutzt wird, muss der Principal einen Ressourcenlink erstellen, um die Tabelle mit Athena abzufragen. Um einen Ressourcenlink zu erstellen, benötigt der Principal die Lake Formation CREATE_TABLE oder CREATE_DATABASE -Genehmigung und die glue:CreateTable glue:CreateDatabase IAM OR-Berechtigung.

    Wenn das Producer-Konto eine andere Tabelle in derselben Datenbank mit demselben oder einem anderen Prinzipal gemeinsam nutzt, kann dieser Principal die Tabelle sofort abfragen.

Anmerkung

Für den Data Lake-Administrator und für Principals, denen der Data Lake-Administrator Berechtigungen erteilt hat, werden gemeinsam genutzte Ressourcen im Datenkatalog so angezeigt, als ob es sich um lokale (eigene) Ressourcen handeln würde. Aufträge zum Extrahieren, Transformieren und Laden (ETL) können auf die zugrunde liegenden Daten gemeinsam genutzter Ressourcen zugreifen.

Bei gemeinsam genutzten Ressourcen wird auf den Seiten „Tabellen“ und „Datenbanken“ der Lake Formation Formation-Konsole die Konto-ID des Besitzers angezeigt.

Wenn auf die zugrunde liegenden Daten einer gemeinsam genutzten Ressource zugegriffen wird, werden CloudTrail Protokollereignisse sowohl im Konto des Empfängers der gemeinsam genutzten Ressource als auch im Konto des Ressourcenbesitzers generiert. Die CloudTrail Ereignisse können die Ereignisse ARN des Prinzipals enthalten, der auf die Daten zugegriffen hat, aber nur, wenn das Empfängerkonto sich dafür entscheidet, den Prinzipal ARN in die Protokolle aufzunehmen. Weitere Informationen finden Sie unter Kontoübergreifende Protokollierung CloudTrail .