Actualización de los ajustes de la versión entre cuentas para compartir datos - AWS Lake Formation
Principales diferencias en las configuraciones de las versiones entre cuentasOptimice el AWS RAM uso compartido de recursosHabilita el AWS RAM uso compartido de los recursos a través de los directores TBAC o compártelos directamente con ellosPara habilitar la nueva versión

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Actualización de los ajustes de la versión entre cuentas para compartir datos

De vez en cuando, AWS Lake Formation actualiza la configuración del intercambio de datos entre cuentas para distinguir los cambios realizados en el AWS RAM uso y para admitir las actualizaciones realizadas en la función de intercambio de datos entre cuentas. Al hacer esto, Lake Formation crea una nueva versión de la Configuración de la versión entre cuentas.

Principales diferencias en las configuraciones de las versiones entre cuentas

Para obtener más información sobre cómo funciona el intercambio de datos entre cuentas en Configuraciones de la versión entre cuentas diferentes, consulte las secciones siguientes.

nota

Para compartir datos con otra cuenta, el otorgante debe tener AWSLakeFormationCrossAccountManager permisos de política gestionados. IAM Es un requisito previo para todas las versiones.

Actualizar la Configuración de la versión entre cuentas no afecta a los permisos que el destinatario tiene en los recursos compartidos. Esto se aplica al actualizar de la versión 1 a la versión 2, de la versión 2 a la versión 3 y de la versión 1 a la versión 3. Consulte las consideraciones que se indican a continuación al actualizar las versiones.

Versión 1

Método de recurso con nombre asignado: asigna cada permiso de Lake Formation multicuenta otorgado a un AWS RAM recurso compartido. El usuario (rol de concedente o entidad principal) no requiere permisos adicionales.

TBACMétodo LF: las concesiones de permisos entre cuentas de Lake Formation no se utilizan AWS RAM para compartir datos. Debe tener permiso de glue:PutResourcePolicy.

Ventajas de actualizar las versiones: versión inicial, no aplicable.

Consideraciones al actualizar las versiones: versión inicial, no aplicable

Versión 2

Método de recurso con nombre asignado: optimiza el número de AWS RAM recursos compartidos al asignar varias concesiones de permisos entre cuentas a un AWS RAM recurso compartido. El usuario no necesita permisos adicionales.

TBACMétodo LF: las concesiones de permisos entre cuentas de Lake Formation no se utilizan AWS RAM para compartir datos. Debe tener permiso de glue:PutResourcePolicy.

Ventajas de actualizar las versiones: configuración escalable de varias cuentas mediante una utilización óptima de AWS RAM la capacidad.

Consideraciones a la hora de actualizar las versiones: Los usuarios que deseen conceder permisos de Lake Formation para varias cuentas deben disponer de los permisos de la política AWSLakeFormationCrossAccountManager AWS gestionada. De lo contrario, debe tener los permisos ram:AssociateResourceShare y ram:DisassociateResourceShare necesarios para compartir correctamente los recursos con otra cuenta.

Versión 3

Método de recurso con nombre asignado: optimiza la cantidad de AWS RAM recursos compartidos al asignar varias concesiones de permisos entre cuentas a un AWS RAM recurso compartido. El usuario no necesita permisos adicionales.

TBACMétodo LF: Lake Formation utiliza AWS RAM subvenciones entre cuentas. El usuario debe añadir pegamento: ShareResource declaración al glue:PutResourcePolicy permiso. El destinatario debe aceptar las invitaciones para compartir recursos de AWS RAM.

Ventajas de actualizar las versiones: admite las funciones siguientes:

  • Permite compartir recursos de forma explícita con un IAM director de una cuenta externa.

    Para obtener más información, consulte Concesión de permisos sobre los recursos del catálogo de datos.

  • Permite compartir entre cuentas mediante el TBAC método LF- para organizaciones o unidades organizativas (OUs).

  • Elimina la sobrecarga que supone mantener AWS Glue políticas adicionales para las subvenciones entre cuentas.

Consideraciones a la hora de actualizar las versiones: cuando se utiliza el TBAC método LF- para compartir recursos, si el otorgante utiliza una versión anterior a la versión 3 y el destinatario utiliza la versión 3 o superior, el otorgante recibe el siguiente mensaje de error: «Solicitud de concesión multicuentas no válida». La cuenta de consumidor ha optado por utilizar la versión entre cuentas: v3. Actualice DataLakeSetting a CrossAccountVersion la versión mínima v3 (servicio: AmazonDataCatalog; código de estado: 400; código de error:)». InvalidInputException Sin embargo, si el otorgante utiliza la versión 3 y el destinatario utiliza la versión 1 o la versión 2, las subvenciones entre cuentas con etiquetas LF se tramitan correctamente.

Las subvenciones multicuentas realizadas mediante el método de recurso designado son compatibles con las distintas versiones. Aunque la cuenta del otorgante utilice una versión anterior (versión 1 o 2) y la cuenta del destinatario utilice una versión más reciente (versión 3 o superior), la funcionalidad de acceso multicuenta funciona sin problemas ni errores de compatibilidad.

Para compartir los recursos directamente con IAM los directores de otra cuenta, solo el otorgante debe usar la versión 3.

Las subvenciones multicuentas realizadas mediante el TBAC método LF- requieren que los usuarios dispongan de una política de AWS Glue Data Catalog recursos en la cuenta. Al actualizar a la versión 3, LF- TBAC concede usos AWS RAM. Para permitir que AWS RAM las subvenciones multicuenta se realicen correctamente, debe añadir la glue:ShareResource declaración a las políticas de recursos del catálogo de datos existentes, tal y como se muestra en la Administrar los permisos entre cuentas mediante ambos AWS Glue y Lake Formation sección.

Versión 4

El concedente necesita la versión 4 o superior para compartir los recursos del Catálogo de datos en el modo de acceso híbrido.

Optimice el AWS RAM uso compartido de recursos

Las nuevas versiones (versión 2 y versiones posteriores) de las subvenciones multicuentas utilizan de manera óptima la AWS RAM capacidad para maximizar el uso multicuenta. Al compartir un recurso con un tercero Cuenta de AWS o con un IAM director, Lake Formation puede crear un nuevo recurso compartido o asociar el recurso con un recurso compartido existente. Al asociarse a los recursos compartidos existentes, Lake Formation reduce el número de invitaciones a compartir recursos que un consumidor tiene que aceptar.

Habilita el AWS RAM uso compartido de los recursos a través de los directores TBAC o compártelos directamente con ellos

Para compartir recursos directamente con IAM los responsables de otra cuenta o para habilitar el uso compartido TBAC entre cuentas con Organizaciones o unidades organizativas, debes actualizar la configuración de la versión de Cross Account a la versión 3. Para obtener más información sobre los límites AWS RAM de recursos, consulte. Prácticas recomendadas y consideraciones para uso compartido de datos entre cuentas

Permisos necesarios para actualizar la configuración de las versiones entre cuentas

Si un otorgante de permisos multicuenta ha AWSLakeFormationCrossAccountManager gestionado los permisos de IAM política, no es necesaria ninguna configuración de permisos adicional para el rol o el principal de otorgante de permisos multicuenta. Sin embargo, si el otorgante multicuenta no usa la política administrada, el rol o el principal del otorgante deben tener los siguientes IAM permisos otorgados para que la nueva versión de la concesión multicuenta se ejecute correctamente.

  
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
         "ram:AssociateResourceShare",
         "ram:DisassociateResourceShare",
         "ram:GetResourceShares"
       ],
     "Resource": "*",
     "Condition": {
       "StringLike": {
         "ram:ResourceShareName": "LakeFormation*"
        }
      }
    }
  ]
}

Para habilitar la nueva versión

Siga estos pasos para actualizar la configuración de la versión multicuenta a través del AWS Lake Formation consola o el AWS CLI.

Console

  1. Elija Versión 2, Versión 3 o Versión 4 en la Configuración de la versión entre cuentas en la página Configuración del Catálogo de datos. Si selecciona Versión 1, Lake Formation utilizará el modo de recursos compartidos predeterminado.

    Data catalog settings page with options for permissions, AWS CloudTrail, and cross account versions.

  2. Seleccione Guardar.

AWS Command Line Interface (AWS CLI)

Utilice el put-data-lake-settings AWS CLI comando para configurar el CROSS_ACCOUNT_VERSION parámetro. Los valores aceptados son 1, 2, 3 y 4.

aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
    "DataLakeAdmins": [
        {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/test"
        }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "Parameters": {
        "CROSS_ACCOUNT_VERSION": "3"
    }
}
importante

En cuanto elija la Versión 2 o la Versión 3, todas las nuevas concesiones de recursos con nombre pasarán por el nuevo modo de concesión entre cuentas. Para aprovechar al máximo la AWS RAM capacidad de sus acciones multicuenta existentes, le recomendamos que revoque las concesiones que se concedieron con la versión anterior y las vuelva a conceder en el nuevo modo.