Die Versionseinstellungen für den kontenübergreifenden Datenaustausch werden aktualisiert - AWS Lake Formation
Hauptunterschiede zwischen den Einstellungen der kontoübergreifenden VersionOptimieren Sie die gemeinsame Nutzung von AWS RAM RessourcenAktivieren Sie AWS RAM Shares über Ressourcen TBAC oder geben Sie sie direkt an Principals weiterUm die neue Version zu aktivieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die Versionseinstellungen für den kontenübergreifenden Datenaustausch werden aktualisiert

AWS Lake Formation Aktualisiert von Zeit zu Zeit die Einstellungen für den kontenübergreifenden Datenaustausch, um die an der AWS RAM Nutzung vorgenommenen Änderungen zu erkennen und Aktualisierungen der Funktion für den kontenübergreifenden Datenaustausch zu unterstützen. Wenn Lake Formation dies tut, erstellt es eine neue Version der Einstellungen für die kontoübergreifende Version.

Hauptunterschiede zwischen den Einstellungen der kontoübergreifenden Version

In den folgenden Abschnitten finden Sie weitere Informationen dazu, wie die kontoübergreifende Datenfreigabe unter den verschiedenen Einstellungen der kontoübergreifenden Version funktioniert.

Anmerkung

Um Daten mit einem anderen Konto gemeinsam zu nutzen, muss der Lizenzgeber über AWSLakeFormationCrossAccountManager verwaltete IAM Richtlinienberechtigungen verfügen. Dies ist eine Voraussetzung für alle Versionen.

Die Aktualisierung der Einstellungen für die kontoübergreifende Version hat keine Auswirkungen auf die Berechtigungen, über die der Empfänger für gemeinsam genutzte Ressourcen verfügt. Dies gilt für die Aktualisierung von Version 1 auf Version 2, Version 2 auf Version 3 und Version 1 auf Version 3. Beachten Sie beim Aktualisieren von Versionen die unten aufgeführten Überlegungen.

Version 1

Methode mit benannter Ressource: Ordnet jede kontoübergreifende Lake Formation Formation-Genehmigungserteilung einer AWS RAM Ressourcenfreigabe zu. Der Benutzer (Rolle des Erteilers oder Principal) benötigt keine zusätzlichen Berechtigungen.

LF- TBAC Methode: Kontoübergreifende Lake Formation Formation-Genehmigungen werden nicht AWS RAM für den Datenaustausch verwendet. Der Benutzer muss über eine glue:PutResourcePolicy entsprechende Genehmigung verfügen.

Vorteile der Aktualisierung von Versionen: Erste Version — nicht zutreffend.

Überlegungen bei der Aktualisierung von Versionen: Erste Version — nicht zutreffend

Version 2

Methode mit benannter Ressource: Optimiert die Anzahl der gemeinsam genutzten AWS RAM Ressourcen, indem mehrere kontoübergreifende Zugriffsberechtigungen einer AWS RAM Ressourcenfreigabe zugeordnet werden. Der Benutzer benötigt keine zusätzlichen Berechtigungen.

LF- TBAC Methode: Kontoübergreifende Lake Formation Formation-Genehmigungen werden nicht AWS RAM für den Datenaustausch verwendet. Der Benutzer muss über eine glue:PutResourcePolicy entsprechende Genehmigung verfügen.

Vorteile der Aktualisierung von Versionen: Skalierbares, kontenübergreifendes Setup durch optimale AWS RAM Kapazitätsauslastung.

Überlegungen beim Aktualisieren von Versionen: Benutzer, die kontoübergreifende Lake Formation Formation-Berechtigungen gewähren möchten, müssen über die Berechtigungen in der AWSLakeFormationCrossAccountManager AWS verwalteten Richtlinie verfügen. Andernfalls benötigen Sie die ram:DisassociateResourceShare erforderlichen Berechtigungen, um Ressourcen erfolgreich mit einem anderen Konto gemeinsam nutzen zu können. ram:AssociateResourceShare

Version 3

Methode mit benannter Ressource: Optimiert die Anzahl der gemeinsam genutzten AWS RAM Ressourcen, indem mehrere kontoübergreifende Zugriffsberechtigungen einer AWS RAM Ressourcenfreigabe zugeordnet werden. Der Benutzer benötigt keine zusätzlichen Berechtigungen.

TBACLF-Methode: Lake Formation verwendet AWS RAM für kontoübergreifende Zuschüsse. Der Benutzer muss der glue:PutResourcePolicy Erlaubnis die ShareResource Anweisung glue: hinzufügen. Der Empfänger muss Resource Share-Einladungen von annehmen AWS RAM.

Vorteile der Aktualisierung von Versionen: Unterstützt die folgenden Funktionen:

  • Ermöglicht die explizite gemeinsame Nutzung von Ressourcen mit einem IAM Principal in einem externen Konto.

    Weitere Informationen finden Sie unter Erteilen von Berechtigungen für Datenkatalogressourcen.

  • Ermöglicht kontenübergreifende Freigaben mit der LF- TBAC Methode für Organizations oder Organisationseinheiten (OUs).

  • Macht die Verwaltung zusätzlicher AWS Glue Richtlinien für kontoübergreifende Zuschüsse überflüssig.

Überlegungen bei der Aktualisierung von Versionen: Wenn Sie die LF- TBAC Methode zur gemeinsamen Nutzung von Ressourcen verwenden und der Zuwendungsgeber eine ältere Version als Version 3 verwendet und der Empfänger Version 3 oder höher verwendet, erhält der Fördergeber die folgende Fehlermeldung: „Ungültiger kontenübergreifender Zuschussantrag. Für das Kundenkonto gibt es die Option „Kontoübergreifende Nutzung“ in der Version v3. Bitte aktualisieren Sie CrossAccountVersion DataLakeSetting auf die Minimalversion v3 (Service: AmazonDataCatalog; Statuscode: 400; Fehlercode: InvalidInputException)“. Wenn der Fördergeber jedoch Version 3 verwendet und der Empfänger Version 1 oder Version 2 verwendet, werden die kontenübergreifenden Zuschüsse mit LF-Tags erfolgreich durchgeführt.

Kontoübergreifende Zuschüsse, die mit der Methode der benannten Ressource gewährt wurden, sind zwischen verschiedenen Versionen kompatibel. Selbst wenn das Zuschusskonto eine ältere Version (Version 1 oder 2) und das Empfängerkonto eine neuere Version (Version 3 oder höher) verwendet, funktioniert die Funktion für den kontenübergreifenden Zugriff problemlos und ohne Kompatibilitätsprobleme oder -fehler.

Um Ressourcen direkt mit IAM Principals in einem anderen Konto gemeinsam zu nutzen, muss nur der Grantor Version 3 verwenden.

Kontoübergreifende Zuschüsse, die mit der TBAC LF-Methode gewährt werden, setzen voraus, dass Benutzer eine AWS Glue Data Catalog Ressourcenrichtlinie im Konto haben. Wenn Sie auf Version 3 aktualisieren, TBAC gewährt LF- Nutzungen AWS RAM. Damit AWS RAM kontoübergreifende Zuschüsse erfolgreich sein können, müssen Sie die glue:ShareResource Erklärung zu Ihren bestehenden Datenkatalog-Ressourcenrichtlinien hinzufügen, wie im Verwaltung kontenübergreifender Berechtigungen mit beiden AWS Glue und Lake Formation Abschnitt beschrieben.

Version 4

Der Zuwendungsgeber benötigt Version 4 oder höher, um Datenkatalogressourcen im Hybridzugriffsmodus gemeinsam nutzen zu können.

Optimieren Sie die gemeinsame Nutzung von AWS RAM Ressourcen

Neue Versionen (Version 2 und höher) von kontenübergreifenden Zuschüssen nutzen die AWS RAM Kapazität optimal, um die kontenübergreifende Nutzung zu maximieren. Wenn Sie eine Ressource mit einem externen Benutzer AWS-Konto oder einem IAM Prinzipal gemeinsam nutzen, erstellt Lake Formation möglicherweise eine neue Ressourcenfreigabe oder ordnet die Ressource einer vorhandenen Freigabe zu. Durch die Verknüpfung mit bestehenden Aktien reduziert Lake Formation die Anzahl der Einladungen zur gemeinsamen Nutzung von Ressourcen, die ein Verbraucher annehmen muss.

Aktivieren Sie AWS RAM Shares über Ressourcen TBAC oder geben Sie sie direkt an Principals weiter

Um Ressourcen direkt mit IAM Prinzipalen in einem anderen Konto zu teilen oder um TBAC kontenübergreifende Freigaben für Organizations oder Organisationseinheiten zu aktivieren, müssen Sie die Einstellungen für die kontoübergreifende Version auf Version 3 aktualisieren. Weitere Informationen zu AWS RAM Ressourcenlimits finden Sie unter. Bewährte Methoden und Überlegungen für den kontenübergreifenden Datenaustausch

Erforderliche Berechtigungen für die Aktualisierung der kontoübergreifenden Versionseinstellungen

Wenn ein kontoübergreifender Berechtigungsgewährer über AWSLakeFormationCrossAccountManager verwaltete IAM Richtlinienberechtigungen verfügt, ist für die Rolle oder den Prinzipal des kontoübergreifenden Berechtigungsgewährers keine zusätzliche Berechtigungseinrichtung erforderlich. Wenn der kontoübergreifende Erteilende jedoch die verwaltete Richtlinie nicht verwendet, sollten der Rolle oder dem Prinzipal, der die Rechte erteilt haben, folgende IAM Berechtigungen erteilt werden, damit die neue Version der kontoübergreifenden Erteilung erfolgreich ist.

  
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
         "ram:AssociateResourceShare",
         "ram:DisassociateResourceShare",
         "ram:GetResourceShares"
       ],
     "Resource": "*",
     "Condition": {
       "StringLike": {
         "ram:ResourceShareName": "LakeFormation*"
        }
      }
    }
  ]
}

Um die neue Version zu aktivieren

Gehen Sie wie folgt vor, um die Einstellungen für die kontoübergreifende Version über den zu aktualisieren AWS Lake Formation Konsole oder die AWS CLI.

Console

  1. Wählen Sie Version 2, Version 3 oder Version 4 unter Einstellungen für kontoübergreifende Versionen auf der Seite mit den Datenkatalogeinstellungen aus. Wenn Sie Version 1 auswählen, verwendet Lake Formation den Standardmodus für die gemeinsame Nutzung von Ressourcen.

    Data catalog settings page with options for permissions, AWS CloudTrail, and cross account versions.

  2. Wählen Sie Save (Speichern) aus.

AWS Command Line Interface (AWS CLI)

Verwenden Sie den put-data-lake-settings AWS CLI Befehl, um den CROSS_ACCOUNT_VERSION Parameter festzulegen. Zulässige Werte sind 1, 2, 3 und 4.

aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
    "DataLakeAdmins": [
        {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/test"
        }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "Parameters": {
        "CROSS_ACCOUNT_VERSION": "3"
    }
}
Wichtig

Sobald Sie Version 2 oder Version 3 ausgewählt haben, durchlaufen alle neuen Zuschüsse für benannte Ressourcen den neuen kontenübergreifenden Zuweisungsmodus. Um die AWS RAM Kapazität Ihrer vorhandenen kontoübergreifenden Anteile optimal zu nutzen, empfehlen wir Ihnen, die mit der älteren Version gewährten Zuschüsse zu widerrufen und im neuen Modus erneut zu gewähren.