Partage d'une ressource de Lake Formation à l'aide du mode d'accès hybride - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Partage d'une ressource de Lake Formation à l'aide du mode d'accès hybride

Autorisez les nouveaux utilisateurs du catalogue de données d'un compte externe à accéder aux bases de données et aux tables du catalogue de données en utilisant des politiques IAM basées sans interrompre les autorisations de partage entre comptes existantes de Lake Formation.

Description du scénario - Le compte producteur possède une base de données gérée par Lake Formation et des tables partagées avec un compte externe (consommateur) au niveau du compte ou IAM au niveau principal. L'emplacement des données de la base de données est enregistré auprès de Lake Formation. Le IAMAllowedPrincipals groupe n'est pas Super autorisé à accéder à la base de données et à ses tables.

Accorder un accès multicompte aux nouveaux utilisateurs du catalogue de données via des politiques IAM basées sans interrompre les autorisations existantes de Lake Formation
  1. Configuration du compte producteur

    1. Connectez-vous à la console Lake Formation à l'aide d'un rôle quilakeformation:PutDataLakeSettings.

    2. Sous Paramètres du catalogue de données, choisissez Version 4 les paramètres de version multi-comptes.

      Si vous utilisez actuellement la version 1 ou 2, consultez Mise à jour des paramètres de version de partage de données entre comptes les instructions relatives à la mise à jour vers la version 3.

      Aucune modification de la politique d'autorisation n'est requise pour passer de la version 3 à la version 4.

    3. Répertoriez les autorisations que vous avez accordées aux principaux sur les bases de données et les tables. Pour de plus amples informations, veuillez consulter Affichage des autorisations de base de données et de tables dans Lake Formation.

    4. Réaccordez les autorisations de comptes croisées de Lake Formation existantes en optant pour les principes et les ressources.

      Note

      Avant de mettre à jour un enregistrement de localisation de données en mode d'accès hybride afin d'accorder des autorisations entre comptes, vous devez réaccorder au moins un partage de données entre comptes par compte. Cette étape est nécessaire pour mettre à jour les autorisations AWS RAM gérées associées au partage de AWS RAM ressources.

      En juillet 2023, Lake Formation a mis à jour les autorisations AWS RAM gérées utilisées pour le partage de bases de données et de tables :

      • arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueAllTablesReadWriteForDatabase(politique de partage au niveau de la base de données)

      • arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueTableReadWrite(politique de partage au niveau de la table)

      Les autorisations entre comptes accordées avant juillet 2023 ne sont pas assorties de ces AWS RAM autorisations mises à jour.

      Si vous avez accordé des autorisations multi-comptes directement aux principaux, vous devez les accorder de nouveau individuellement aux principaux. Si vous ignorez cette étape, les principaux accédant à la ressource partagée risquent de recevoir une erreur de combinaison illégale.

    5. Accédez à https://console.aws.amazon.com/ram.

    6. L'onglet Shared by me de la AWS RAM console affiche les noms de base de données et de tables que vous avez partagés avec un compte ou un principal externe.

      Assurez-vous que les autorisations associées à la ressource partagée sont correctesARN.

    7. Vérifiez que le Associated statut des ressources du AWS RAM partage est valide. Si le statut est défini comme telAssociating, attendez qu'ils passent à Associated l'état. Si le statut devient le mêmeFailed, arrêtez-vous et contactez l'équipe de service de Lake Formation.

    8. Choisissez le mode d'accès hybride sous Autorisations dans la barre de navigation de gauche, puis choisissez Ajouter.

    9. La page Ajouter des principes et des ressources affiche les bases de données et/ou les tables, ainsi que les principes auxquels ils ont accès. Vous pouvez effectuer les mises à jour requises en ajoutant ou en supprimant des principes et des ressources.

    10. Choisissez les principes dotés des autorisations Lake Formation pour la base de données et les tables que vous souhaitez passer en mode d'accès hybride. Choisissez les bases de données et les tables.

    11. Choisissez Ajouter pour activer les principes permettant d'appliquer les autorisations de Lake Formation en mode d'accès hybride.

    12. Accordez l'Superautorisation au groupe virtuel IAMAllowedPrincipals sur votre base de données et sur les tables sélectionnées.

    13. Modifiez l'enregistrement du site Amazon S3 Lake Formation en mode d'accès hybride.

    14. Accordez des autorisations aux AWS Glue utilisateurs du compte externe (consommateur) en utilisant les politiques IAM d'autorisation pour les AWS Glue actions Amazon S3.

  2. Configuration du compte client

    1. Connectez-vous à la console Lake Formation en https://console.aws.amazon.com/lakeformation/tant qu'administrateur de lac de données.

    2. Accédez à https://console.aws.amazon.com/ram et acceptez l'invitation de partage de ressources. L'onglet Ressources partagées avec moi de la AWS RAM page affiche les noms de base de données et de tables partagés avec votre compte.

      Pour le AWS RAM partage, assurez-vous que l'autorisation jointe correspond à ARN l' AWS RAM invitation partagée. Vérifiez si les ressources du AWS RAM partage sont en Associated état. Si le statut est défini comme telAssociating, attendez qu'ils passent à Associated l'état. Si le statut devient le mêmeFailed, arrêtez-vous et contactez l'équipe de service de Lake Formation.

    3. Créez un lien de ressource vers la base de données et/ou la table partagée dans Lake Formation.

    4. Accordez Describe l'autorisation sur le lien vers la ressource et l'Grant on targetautorisation (sur la ressource partagée d'origine) IAM aux principaux utilisateurs de votre compte (consommateur).

    5. Configurez ensuite les autorisations de Lake Formation pour les principaux utilisateurs de votre compte sur la base de données ou la table partagée.

      Dans la barre de navigation de gauche, sous Autorisations, choisissez le mode d'accès hybride.

    6. Choisissez Ajouter dans la section inférieure de la page du mode d'accès hybride pour activer les principes et la base de données ou la table partagée avec vous depuis le compte du producteur.

    7. Accordez des autorisations aux AWS Glue utilisateurs de votre compte en utilisant les politiques IAM d'autorisation pour les AWS Glue actions Amazon S3.

    8. Testez les autorisations et AWS Glue autorisations des utilisateurs de Lake Formation en exécutant des exemples de requêtes distincts sur la table à l'aide d'Athena

      (Facultatif) Nettoyez les politiques d'IAMautorisation pour Amazon S3 pour les principaux qui utilisent le mode d'accès hybride.