Requisitos previos - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos

Antes de que su AWS cuenta pueda compartir los recursos del catálogo de datos (bases de datos y tablas) con otra cuenta o con los responsables de otra cuenta, y antes de que pueda acceder a los recursos compartidos con su cuenta, debe cumplir los siguientes requisitos previos.

Requisitos generales para compartir datos entre cuentas

  • Para compartir bases de datos y tablas del Catálogo de datos en modo de acceso híbrido, debe actualizar la Configuración de la versión entre cuentas a la Versión 4.

  • Antes de conceder permisos entre cuentas en un recurso del Catálogo de datos, debe revocar todos los permisos de Lake Formation del grupo IAMAllowedPrincipals para el recurso. Si la entidad principal que llama tiene permisos entre cuentas para acceder a un recurso y el permiso IAMAllowedPrincipals existe en el recurso, Lake Formation genera AccessDeniedException.

    Este requisito solo se aplica cuando se registra la ubicación de datos subyacente en el modo de Lake Formation. Si registra la ubicación de datos en modo híbrido, los permisos del grupo IAMAllowedPrincipals pueden existir en la base de datos o tabla compartida.

  • En las bases de datos que contengan tablas que desee compartir, debe evitar que las nuevas tablas tengan una concesión predeterminada de Super a IAMAllowedPrincipals. En la consola de Lake Formation, edite la base de datos y desactive Usar solo el control de IAM acceso para las nuevas tablas de esta base de datos o introduzca el siguiente AWS CLI comando y database reemplácelo por el nombre de la base de datos. Si la ubicación de datos subyacente está registrada en modo de acceso híbrido, no necesita cambiar esta configuración predeterminada. En el modo de acceso híbrido, Lake Formation le permite aplicar de forma selectiva los permisos y las políticas de IAM permisos de Lake Formation para Amazon S3 y AWS Glue en el mismo recurso.

    
aws glue update-database --name database --database-input '{"Name":"database","CreateTableDefaultPermissions":[]}'

  • Para conceder permisos entre cuentas, el otorgante debe tener los permisos necesarios AWS Identity and Access Management () en IAM AWS Glue y servicio. AWS RAM La política AWS gestionada AWSLakeFormationCrossAccountManager concede los permisos necesarios.

    Los administradores de lagos de datos de las cuentas que reciben recursos compartidos AWS RAM deben tener la siguiente política adicional. Permite al administrador aceptar invitaciones para compartir AWS RAM recursos. También permite al administrador habilitar el intercambio de recursos con las organizaciones.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:RejectResourceShareInvitation",
                "ec2:DescribeAvailabilityZones",
                "ram:EnableSharingWithAwsOrganization"
            ],
            "Resource": "*"
        }
    ]
}

  • Si quieres compartir los recursos del catálogo de datos con AWS Organizations o las unidades organizativas, debes habilitar el uso compartido con las organizaciones en AWS RAM.

    Para obtener información sobre cómo habilitar el uso compartido con las organizaciones, consulte Habilitar el uso compartido con AWS las organizaciones en la Guía del AWS RAM usuario.

    Debe tener el permiso ram:EnableSharingWithAwsOrganization para habilitar el uso compartido con las organizaciones.

  • Para compartir recursos directamente con un IAM director de otra cuenta, debe actualizar la configuración de la versión multicuenta a la versión 3. Esta configuración está disponible en la página Configuración del Catálogo de datos. Si utiliza la Versión 1, consulte las instrucciones para actualizar la configuración Actualización de los ajustes de la versión entre cuentas para compartir datos.

  • No puede compartir los recursos del catálogo de datos cifrados con una clave gestionada por el AWS Glue servicio con otra cuenta. Solo puede compartir los recursos del Catálogo de datos cifrados con la clave de cifrado del cliente, y la cuenta que reciba el recurso compartido debe tener permisos sobre la clave de cifrado del Catálogo de datos para descifrar los objetos.

Intercambio de datos entre cuentas según los requisitos de LF- TBAC

  • Para compartir los recursos del catálogo de datos con AWS Organizations las unidades organizativas (OUs), debes actualizar la configuración de la versión multicuenta a la versión 3.

  • Para compartir los recursos del catálogo de datos con la versión 3 de la configuración de la versión Cross Account, el otorgante debe tener los IAM permisos definidos en la política AWS AWSLakeFormationCrossAccountManager administrada de su cuenta.

  • Si utiliza la versión 1 o la versión 2 de la configuración de la versión para varias cuentas, debe tener una política de recursos del catálogo de datos (glue:PutResourcePolicy) que habilite LF-. TBAC Para obtener más información, consulte Administrar los permisos entre cuentas mediante ambos AWS Glue y Lake Formation.

  • Si actualmente utiliza una AWS Glue Política de recursos del catálogo de datos para compartir recursos y si desea conceder permisos entre cuentas mediante la versión 3 de la configuración de la versión multicuenta, debe añadir el glue:ShareResource permiso en la configuración del catálogo de datos mediante la glue:PutResourcePolicy API operación que se muestra en la Administrar los permisos entre cuentas mediante ambos AWS Glue y Lake Formation sección. Esta política no es obligatoria si su cuenta no ha realizado concesiones entre cuentas mediante el AWS Glue Política de recursos del catálogo de datos (glue:PutResourcePolicypermisos de uso en las versiones 1 y 2) para conceder el acceso entre cuentas. 

    {
      "Effect": "Allow",
      "Action": [
        "glue:ShareResource"
      ],
      "Principal": {"Service": [
        "ram.amazonaws.com"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:<account-id>:table/*/*",
        "arn:aws:glue:<region>:<account-id>:database/*",
        "arn:aws:glue:<region>:<account-id>:catalog"
      ]
    }

  • Si su cuenta ha realizado acciones entre cuentas mediante AWS Glue Política de recursos del catálogo de datos, y actualmente está utilizando el método de recursos con nombre o LF- TBAC con una configuración de cuentas cruzadas, versión 3, AWS RAM para compartir recursos, que utiliza para compartir recursos, debe establecer el EnableHybrid argumento 'true' al invocar la glue:PutResourcePolicy API operación. Para obtener más información, consulte Administrar los permisos entre cuentas mediante ambos AWS Glue y Lake Formation.

Se requiere una configuración en cada cuenta que acceda al recurso compartido

  • Si comparte recursos con Cuentas de AWS, al menos un usuario de la cuenta de consumidor debe ser administrador del lago de datos para ver los recursos compartidos. Para obtener más información sobre cómo crear un administrador de lago de datos, consulte Crear un administrador de lago de datos.

    El administrador del lago de datos puede conceder permisos de Lake Formation sobre los recursos compartidos a otras entidades principales de la cuenta. Otras entidades principales no pueden acceder a los recursos compartidos hasta que el administrador del lago de datos les conceda permisos sobre ellos.

  • Los servicios integrados, como Athena y Amazon Redshift Spectrum, requieren enlaces a recursos para poder incluir recursos compartidos en las consultas. Las entidades principales deben crear un enlace de recursos en su Catálogo de datos a un recurso compartido de otra Cuenta de AWS. Para obtener más información sobre los enlaces de recursos, consulte Cómo funcionan los enlaces de recursos en Lake Formation.

  • Cuando un recurso se comparte directamente con un IAM principal, para consultar la tabla con Athena, el principal debe crear un enlace de recursos. Para crear un enlace a un recurso, el director necesita el CREATE_DATABASE permiso CREATE_TABLE o Lake Formation y el glue:CreateDatabase IAM permiso glue:CreateTable o.

    Si la cuenta de productor comparte una tabla diferente en la misma base de datos con la misma entidad principal u otra, esta puede consultar la tabla inmediatamente.

nota

Para el administrador del lago de datos y para las entidades principales a las que el administrador del lago de datos haya concedido permisos, los recursos compartidos aparecen en el Catálogo de datos como si fueran recursos locales (de su propiedad). Los trabajos de extracción, transformación y carga (ETL) pueden acceder a los datos subyacentes de los recursos compartidos.

En el caso de los recursos compartidos, las páginas Tablas y Bases de datos de la consola de Lake Formation muestran el ID de cuenta del propietario.

Cuando se accede a los datos subyacentes de un recurso compartido, los eventos de CloudTrail registro se generan tanto en la cuenta del destinatario del recurso compartido como en la cuenta del propietario del recurso. Los CloudTrail eventos pueden contener los datos ARN del principal que accedió a los datos, pero solo si la cuenta del destinatario opta por incluir el principal ARN en los registros. Para obtener más información, consulte Registro multicuenta CloudTrail .