Administrar los permisos entre cuentas mediante ambos AWS Glue y Lake Formation

Es posible conceder acceso multicuenta a los recursos del catálogo de datos y a los datos subyacentes mediante cualquiera de las dos opciones AWS Glue o. AWS Lake Formation

En AWS Glue, se conceden permisos multicuenta mediante la creación o actualización de una política de recursos del catálogo de datos. En Lake Formation, se conceden permisos entre cuentas mediante el modelo de GRANT/REVOKE permisos de Lake Formation y la Grant Permissions API operación.

sugerencia

Recomendamos confiar solo en los permisos de Lake Formation para proteger su lago de datos.

Puede ver las subvenciones entre cuentas de Lake Formation mediante la consola Lake Formation o la consola AWS Resource Access Manager (AWS RAM). Sin embargo, esas páginas de la consola no muestran los permisos entre cuentas otorgados por AWS Glue Política de recursos del catálogo de datos. Del mismo modo, puede ver las concesiones entre cuentas en la política de recursos del catálogo de datos en la página de configuración del AWS Glue consola, pero esa página no muestra los permisos entre cuentas concedidos con Lake Formation.

Para garantizar que no te pierdas ninguna subvención al ver y gestionar los permisos entre cuentas, Lake Formation y AWS Glue le solicitamos que lleve a cabo las siguientes acciones para indicar que conoce y permite las subvenciones entre cuentas tanto por parte de Lake Formation como AWS Glue.

Al conceder permisos para varias cuentas mediante el AWS Glue Política de recursos del catálogo de datos

Si su cuenta (cuenta de cedente o cuenta de productor) no ha realizado concesiones entre cuentas que se utilicen AWS RAM para compartir los recursos, puede guardar una política de recursos del catálogo de datos como de costumbre en AWS Glue. Sin embargo, si ya se han realizado concesiones que implican el uso compartido de AWS RAM recursos, debe realizar una de las siguientes acciones para garantizar que la política de recursos se guarde correctamente:

Al guardar la política de recursos en la página de configuración del AWS Glue consola, la consola emite una alerta en la que se indica que los permisos de la política se sumarán a los permisos concedidos mediante la consola de Lake Formation. Debe elegir Continuar para guardar la política.

Al guardar la política de recursos mediante la glue:PutResourcePolicy API operación, debe establecer el EnableHybrid campo en 'TRUE' (tipo = cadena). El siguiente ejemplo de código muestra cómo hacerlo en Python.


import boto3
import json

REGION = 'us-east-2'
PRODUCER_ACCOUNT_ID = '123456789012'
CONSUMER_ACCOUNT_IDs = ['111122223333']

glue = glue_client = boto3.client('glue')

policy = {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Cataloguers",
            "Effect": "Allow",
            "Action": [
                "glue:*"
            ],
            "Principal": {
                "AWS": CONSUMER_ACCOUNT_IDs
            },
            "Resource": [
                f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:catalog",
                f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:database/*",
                f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:table/*/*"
            ]
        }
    ]
}

policy = json.dumps(policy)
glue.put_resource_policy(PolicyInJson=policy, EnableHybrid='TRUE')

Para obtener más información, consulte PutResourcePolicy Action (Python: put_resource_policy) en la Guía para desarrolladores.AWS Glue

Al conceder permisos entre cuentas mediante el método de recursos con nombre de Lake Formation

Si no hay una política de recursos del Catálogo de Datos en su cuenta (cuenta de productor), las concesiones multicuentas de Lake Formation que realice procederán como de costumbre. Sin embargo, si existe una política de recursos del Catálogo de datos, debe agregarle la siguiente instrucción para que las concesiones entre cuentas se hagan correctamente si se sigue el método de recurso indicado. Reemplazar <region> con un nombre de región válido y <account-id> con su ID de AWS cuenta (ID de cuenta de productor).


    {
      "Effect": "Allow",
      "Action": [
        "glue:ShareResource"
      ],
      "Principal": {"Service": [
        "ram.amazonaws.com"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:<account-id>:table/*/*",
        "arn:aws:glue:<region>:<account-id>:database/*",
        "arn:aws:glue:<region>:<account-id>:catalog"
      ]
    }

Sin esta declaración adicional, la subvención de Lake Formation es válida, pero queda bloqueada y la cuenta receptora no puede acceder al recurso otorgado. AWS RAM

importante

Si utiliza el método de control de acceso basado en etiquetas (LF-TBAC) de Lake Formation para conceder concesiones entre cuentas, debe tener una política de recursos del catálogo de datos con al menos los permisos especificados en. Requisitos previos

Consulte también:

Control de acceso a los metadatos(para analizar el método de recursos con nombre asignado frente al método de control de acceso basado en etiquetas (LF-TBAC) de Lake Formation).
Visualización de tablas y bases de datos compartidas del Catálogo de datos
Trabajar con la configuración del catálogo de datos en el AWS Glue La consola en la guía para AWS Glue desarrolladores
Concesión de acceso entre cuentas en la Guía para desarrolladores de AWS Glue (para ver ejemplos de las políticas de recursos del Catálogo de datos)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Registro multicuenta CloudTrail

Visualización de todas las subvenciones entre cuentas mediante la operación GetResourceShares API