Gemeinsame Nutzung einer Lake Formation Formation-Ressource im hybriden Zugriffsmodus - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Gemeinsame Nutzung einer Lake Formation Formation-Ressource im hybriden Zugriffsmodus

Erlauben Sie neuen Data Catalog-Benutzern mit einem externen Konto den Zugriff auf Data Catalog-Datenbanken und -Tabellen mithilfe von IAM basierten Richtlinien, ohne die bestehenden Kontofreigabeberechtigungen von Lake Formation zu unterbrechen.

Beschreibung des Szenarios: Das Produzentenkonto verfügt über eine von Lake Formation verwaltete Datenbank und Tabellen, die mit einem externen (Verbraucher-) Konto auf Konto- oder IAM Prinzipalebene gemeinsam genutzt werden. Der Datenstandort der Datenbank ist bei Lake Formation registriert. Die IAMAllowedPrincipals Gruppe hat keine Super Berechtigungen für die Datenbank und ihre Tabellen.

Neuen Data Catalog-Benutzern kontenübergreifenden Zugriff über IAM basierte Richtlinien gewähren, ohne bestehende Lake Formation Formation-Berechtigungen zu unterbrechen
  1. Produzentenkonto eingerichtet

    1. Melden Sie sich mit einer Rolle bei der Lake Formation Formation-Konsole anlakeformation:PutDataLakeSettings.

    2. Wählen Sie unter Einstellungen für den Datenkatalog die Einstellungen Version 4 für die kontoübergreifende Version aus.

      Wenn Sie derzeit Version 1 oder 2 verwenden, lesen Sie die Die Versionseinstellungen für den kontenübergreifenden Datenaustausch werden aktualisiert Anweisungen zur Aktualisierung auf Version 3.

      Für ein Upgrade von Version 3 auf 4 sind keine Änderungen der Berechtigungsrichtlinien erforderlich.

    3. Führen Sie die Berechtigungen auf, die Sie Prinzipalen für Datenbanken und Tabellen erteilt haben. Weitere Informationen finden Sie unter Datenbank- und Tabellenberechtigungen in Lake Formation anzeigen.

    4. Gewähren Sie bestehende kontoübergreifende Berechtigungen von Lake Formation erneut, indem Sie sich für Prinzipale und Ressourcen entscheiden.

      Anmerkung

      Bevor Sie eine Datenstandortregistrierung auf den Hybridzugriffsmodus aktualisieren, um kontenübergreifende Berechtigungen zu gewähren, müssen Sie mindestens eine kontenübergreifende Datenfreigabe pro Konto erneut gewähren. Dieser Schritt ist erforderlich, um die AWS RAM verwalteten Berechtigungen zu aktualisieren, die der Ressourcenfreigabe zugeordnet sind. AWS RAM

      Im Juli 2023 hat Lake Formation die AWS RAM verwalteten Berechtigungen aktualisiert, die für die gemeinsame Nutzung von Datenbanken und Tabellen verwendet werden:

      • arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueAllTablesReadWriteForDatabase(Richtlinie zur gemeinsamen Nutzung auf Datenbankebene)

      • arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueTableReadWrite(Freigaberichtlinie auf Tabellenebene)

      Für kontoübergreifende Genehmigungen, die vor Juli 2023 erteilt wurden, gelten diese aktualisierten Berechtigungen nicht. AWS RAM

      Wenn Sie Prinzipalen direkt kontoübergreifende Berechtigungen erteilt haben, müssen Sie diese Berechtigungen den Prinzipalen einzeln erneut gewähren. Wenn Sie diesen Schritt überspringen, wird bei den Prinzipalen, die auf die gemeinsam genutzte Ressource zugreifen, möglicherweise ein unzulässiger Kombinationsfehler angezeigt.

    5. Gehen Sie zu https://console.aws.amazon.com/ram.

    6. Auf der Registerkarte Von mir gemeinsam genutzt in der AWS RAM Konsole werden die Datenbank- und Tabellennamen angezeigt, die Sie für ein externes Konto oder einen externen Prinzipal freigegeben haben.

      Stellen Sie sicher, dass die mit der gemeinsam genutzten Ressource verknüpften Berechtigungen korrekt sindARN.

    7. Vergewissern Sie sich, dass die Ressourcen in der AWS RAM Freigabe Associated den Status haben. Wenn der Status als angezeigt wirdAssociating, warten Sie, bis sie in den Associated Status wechseln. Wenn der Status lautetFailed, halten Sie an und wenden Sie sich an das Lake Formation-Serviceteam.

    8. Wählen Sie in der linken Navigationsleiste unter Berechtigungen den Hybrid-Zugriffsmodus aus und klicken Sie dann auf Hinzufügen.

    9. Auf der Seite „Prinzipale und Ressourcen hinzufügen“ werden die Datenbanken und/oder Tabellen und die Prinzipale angezeigt, die Zugriff haben. Sie können die erforderlichen Aktualisierungen vornehmen, indem Sie Prinzipale und Ressourcen hinzufügen oder entfernen.

    10. Wählen Sie die Principals mit Lake Formation Formation-Berechtigungen für die Datenbank und die Tabellen aus, die Sie in den Hybridzugriffsmodus ändern möchten. Wählen Sie die Datenbanken und Tabellen aus.

    11. Wählen Sie Hinzufügen, um die Principals zu aktivieren, um Lake Formation Formation-Berechtigungen im Hybridzugriffsmodus durchzusetzen.

    12. Erteilen Sie der virtuellen Gruppe Super IAMAllowedPrincipals Berechtigungen für Ihre Datenbank und ausgewählte Tabellen.

    13. Bearbeiten Sie die Registrierung des Amazon S3 S3-Standorts Lake Formation in den Hybridzugriffsmodus.

    14. Erteilen Sie den AWS Glue Benutzern im externen (Verbraucher-) Konto mithilfe von IAM Berechtigungsrichtlinien für Amazon S3 AWS Glue S3-Aktionen Berechtigungen.

  2. Kundenkonto eingerichtet

    1. Melden Sie sich https://console.aws.amazon.com/lakeformation/als Data Lake-Administrator bei der Lake Formation Formation-Konsole an.

    2. Gehen Sie zu https://console.aws.amazon.com/ram und nehmen Sie die Einladung zur gemeinsamen Nutzung von Ressourcen an. Auf der Registerkarte Mit mir geteilte Ressourcen auf der AWS RAM Seite werden die Datenbank- und Tabellennamen angezeigt, die mit Ihrem Konto geteilt wurden.

      Stellen AWS RAM Sie beim Teilen sicher, dass die beigefügte Berechtigung die gleiche ist ARN wie die geteilte AWS RAM Einladung. Überprüfe, ob die Ressourcen in der AWS RAM Freigabe Associated den Status haben. Wenn der Status als angezeigt wirdAssociating, warten Sie, bis sie in den Associated Status wechseln. Wenn der Status lautetFailed, halten Sie an und wenden Sie sich an das Lake Formation-Serviceteam.

    3. Erstellen Sie einen Ressourcenlink zur gemeinsam genutzten Datenbank und/oder Tabelle in Lake Formation.

    4. DescribeErteilen Sie den IAM Prinzipalen in Ihrem (Verbraucher-) Konto Grant on target Berechtigungen für den Ressourcenlink und die Berechtigungen (für die ursprünglich gemeinsam genutzte Ressource).

    5. Als Nächstes richten Sie Lake Formation Formation-Berechtigungen für Principals in Ihrem Konto in der gemeinsam genutzten Datenbank oder Tabelle ein.

      Wählen Sie in der linken Navigationsleiste unter Berechtigungen den Hybridzugriffsmodus aus.

    6. Wählen Sie im unteren Bereich der Seite für den hybriden Zugriffsmodus die Option Hinzufügen aus, um die Prinzipale und die Datenbank oder Tabelle zu aktivieren, die über das Produzentenkonto für Sie freigegeben wurde.

    7. Erteilen Sie den AWS Glue Benutzern in Ihrem Konto mithilfe von IAM Berechtigungsrichtlinien für Amazon S3 AWS Glue S3-Aktionen Berechtigungen.

    8. Testen Sie die Lake Formation Formation-Berechtigungen und AWS Glue -Berechtigungen der Benutzer, indem Sie mit Athena separate Beispielabfragen für die Tabelle ausführen

      (Optional) Bereinigen Sie die IAM Berechtigungsrichtlinien für Amazon S3 für die Principals, die sich im Hybridzugriffsmodus befinden.