Actualización de los ajustes de la versión entre cuentas para compartir datos - AWS Lake Formation
Principales diferencias en las configuraciones de las versiones entre cuentasOptimice los recursos compartidos AWS RAMHabilitar recursos compartidos de AWS RAM a través de TBAC o compartir recursos directamente con entidades principalesPara habilitar la nueva versión

Actualización de los ajustes de la versión entre cuentas para compartir datos

De vez en cuando, AWS Lake Formation actualiza los ajustes de uso compartido de datos entre cuentas para distinguir los cambios realizados en el uso de AWS RAM y para admitir las actualizaciones efectuadas en la característica de uso compartido de datos entre cuentas. Al hacer esto, Lake Formation crea una nueva versión de la Configuración de la versión entre cuentas.

Principales diferencias en las configuraciones de las versiones entre cuentas

Para obtener más información sobre cómo funciona el intercambio de datos entre cuentas en Configuraciones de la versión entre cuentas diferentes, consulte las secciones siguientes.

nota

Para compartir datos con otra cuenta, el concedente debe haber AWSLakeFormationCrossAccountManager administrado los permisos de la política de IAM. Es un requisito previo para todas las versiones.

Actualizar la Configuración de la versión entre cuentas no afecta a los permisos que el destinatario tiene en los recursos compartidos. Esto se aplica al actualizar de la versión 1 a la versión 2, de la versión 2 a la versión 3 y de la versión 1 a la versión 3. Consulte las consideraciones que se indican a continuación al actualizar las versiones.

Versión 1

Método de recurso con nombre: asigna cada permiso de Lake Formation entre cuentas concedido a un recurso compartido AWS RAM. El usuario (rol de concedente o entidad principal) no requiere permisos adicionales.

Método LF-TBAC: las concesiones de permisos entre cuentas de Lake Formation no utilizan AWS RAM para compartir datos. Debe tener permiso de glue:PutResourcePolicy.

Ventajas de actualizar las versiones: versión inicial, no aplicable.

Consideraciones al actualizar las versiones: versión inicial, no aplicable

Versión 2

Método de recurso con nombre: optimiza el número de recursos compartidos AWS RAM al asignar varias concesiones de permisos entre cuentas a un recurso compartido AWS RAM. El usuario no necesita permisos adicionales.

Método LF-TBAC: las concesiones de permisos entre cuentas de Lake Formation no utilizan AWS RAM para compartir datos. Debe tener permiso de glue:PutResourcePolicy.

Ventajas de la actualización de las versiones: configuración escalable para varias cuentas mediante una utilización óptima de la capacidad de AWS RAM.

Consideraciones al actualizar las versiones: los usuarios que deseen conceder permisos de Lake Formation para varias cuentas deben disponer de los permisos de la política administrada AWSLakeFormationCrossAccountManager AWS. De lo contrario, debe tener los permisos ram:AssociateResourceShare y ram:DisassociateResourceShare necesarios para compartir correctamente los recursos con otra cuenta.

Versión 3

Método de recurso con nombre: optimiza el número de recursos compartidos AWS RAM al asignar varias concesiones de permisos entre cuentas a un recurso compartido AWS RAM. El usuario no necesita permisos adicionales.

Método LF-TBAC: Lake Formation utiliza concesiones AWS RAM entre cuentas. El usuario debe añadir la declaración Glue:ShareResource al permiso glue:PutResourcePolicy. El destinatario debe aceptar las invitaciones para compartir recursos de AWS RAM.

Ventajas de actualizar las versiones: admite las funciones siguientes:

  • Permite compartir recursos explícitamente con una entidad principal de IAM en una cuenta externa.

    Para obtener más información, consulte Concesión de permisos sobre los recursos del Catálogo de datos.

  • Permite compartir entre cuentas utilizando el método LF-TBAC a organizaciones o unidades organizativas (UO).

  • Elimina la sobrecarga que supone mantener políticas de AWS Glue adicionales para las concesiones entre cuentas.

Consideraciones al actualizar las versiones: Cuando se utiliza el método LF-TBAC, si el concedente utiliza una versión anterior a la versión 3 y el destinatario está utilizando la versión 3 o una versión posterior, el concedente recibe el siguiente mensaje de error: “Invalid cross account grant request”. La cuenta de consumidor ha optado por utilizar la versión entre cuentas: v3. Actualice CrossAccountVersion en DataLakeSetting a la versión mínima v3 (Service: AmazonDataCatalog; Status Code: 400; Error Code: InvalidInputException)». Sin embargo, si el concedente utiliza la versión 3 y el destinatario las versiones 1 o 2, las concesiones entre cuentas con etiquetas LF se tramitan correctamente.

Las concesiones entre cuentas realizadas con el método de recurso con nombre son compatibles entre versiones. Aunque la cuenta del concedente utilice una versión anterior (versión 1 o 2) y la cuenta del destinatario utilice una versión más reciente (versión 3 o superior), la funcionalidad de acceso entre cuentas funciona correctamente, sin problemas ni errores de compatibilidad.

Para compartir recursos directamente con entidades principales de IAM en otra cuenta, solo el concedente debe utilizar la versión 3.

Las concesiones entre cuentas efectuadas con el método LF-TBAC requieren que los usuarios tengan una política de recursos AWS Glue Data Catalog en la cuenta. Al actualizar a la versión 3, el LF-TBAC concede los usos AWS RAM. Para permitir que las concesiones entre cuentas basada en AWS RAM se hagan correctamente, debe añadir la declaración glue:ShareResource a las políticas de recursos del Catálogo de datos existentes, tal como se muestra en la sección Administración de los permisos entre cuentas mediante AWS Glue y Lake Formation.

Versión 4

El concedente necesita la versión 4 o superior para compartir los recursos del Catálogo de datos en el modo de acceso híbrido.

Optimice los recursos compartidos AWS RAM

Las nuevas versiones (versión 2 y posteriores) de las concesiones entre cuentas utilizan de manera óptima la capacidad AWS RAM para maximizar el uso entre cuentas. Cuando comparte un recurso con una Cuenta de AWS externa o una entidad principal de IAM, Lake Formation puede crear un nuevo recurso compartido o asociar el recurso con un recurso compartido existente. Al asociarse a los recursos compartidos existentes, Lake Formation reduce el número de invitaciones a compartir recursos que un consumidor tiene que aceptar.

Habilitar recursos compartidos de AWS RAM a través de TBAC o compartir recursos directamente con entidades principales

Para compartir recursos directamente con entidades principales de IAM en otra cuenta o para habilitar los recursos compartidos entre cuentas TBAC a organizaciones o unidades organizativas, debe actualizar la Configuración de la versión entre cuentas a la versión 3. Para obtener más información sobre los límites de recursos AWS RAM, consulte Prácticas recomendadas y consideraciones para uso compartido de datos entre cuentas.

Permisos necesarios para actualizar la configuración de las versiones entre cuentas

Si un concedente de permisos entre cuentas tiene permisos de política de IAM gestionados por AWSLakeFormationCrossAccountManager, no se requiere ninguna configuración de permisos adicional para el rol o la entidad principal del concedente de permisos entre cuentas. Sin embargo, si el concedente entre cuentas no está utilizando la política administrada, entonces el rol de concedente o entidad principal debe tener concedidos los siguientes permisos de IAM para que la nueva versión de la concesión entre cuentas tenga éxito.

  
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
         "ram:AssociateResourceShare",
         "ram:DisassociateResourceShare",
         "ram:GetResourceShares"
       ],
     "Resource": "*",
     "Condition": {
       "StringLike": {
         "ram:ResourceShareName": "LakeFormation*"
        }
      }
    }
  ]
}

Para habilitar la nueva versión

Siga estos pasos para actualizar la Configuración de la versión entre cuentas en la consola de AWS Lake Formation o la AWS CLI.

Console

  1. Elija Versión 2, Versión 3 o Versión 4 en la Configuración de la versión entre cuentas en la página Configuración del Catálogo de datos. Si selecciona Versión 1, Lake Formation utilizará el modo de recursos compartidos predeterminado.

    Data catalog settings page with options for permissions, AWS CloudTrail, and cross account versions.

  2. Seleccione Guardar.

AWS Command Line Interface (AWS CLI)

Utilice el comando put-data-lake-settings AWS CLI para establecer el parámetro CROSS_ACCOUNT_VERSION. Los valores aceptados son 1, 2, 3 y 4.

aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
    "DataLakeAdmins": [
        {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/test"
        }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "Parameters": {
        "CROSS_ACCOUNT_VERSION": "3"
    }
}
importante

En cuanto elija la Versión 2 o la Versión 3, todas las nuevas concesiones de recursos con nombre pasarán por el nuevo modo de concesión entre cuentas. Para utilizar de forma óptima la capacidad de AWS RAM para sus recursos compartidos entre cuentas existentes, le recomendamos que revoque las concesiones que se hicieron con la versión anterior y vuelva a concederlas en el nuevo modo.