Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Mise à jour des paramètres de version de partage de données entre comptes

PDF
Mode de mise au point
Mise à jour des paramètres de version de partage de données entre comptes - AWS Lake Formation
Principales différences entre les paramètres des versions multi-comptesOptimisez le partage AWS RAM des ressourcesActivez AWS RAM les partages via TBAC ou partagez les ressources directement avec les principauxPour activer la nouvelle version

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Met à AWS Lake Formation jour de temps à autre les paramètres de partage de données entre comptes afin de distinguer les modifications apportées à l' AWS RAM utilisation et de prendre en charge les mises à jour apportées à la fonctionnalité de partage de données entre comptes. Lorsque Lake Formation effectue cette opération, il crée une nouvelle version des paramètres de version du compte Cross.

Principales différences entre les paramètres des versions multi-comptes

Pour plus d'informations sur le fonctionnement du partage de données entre comptes selon les différents paramètres de version entre comptes, consultez les sections suivantes.

Note

Pour partager des données avec un autre compte, le donateur doit avoir AWSLakeFormationCrossAccountManager géré les autorisations liées à la politique IAM. Il s'agit d'une condition préalable pour toutes les versions.

La mise à jour des paramètres de version de plusieurs comptes n'a aucune incidence sur les autorisations dont dispose le destinataire sur les ressources partagées. Cela s'applique lors de la mise à jour de la version 1 vers la version 2, de la version 2 vers la version 3 et de la version 1 vers la version 3. Consultez les considérations répertoriées ci-dessous lors de la mise à jour des versions.

Version 1

Méthode de ressource nommée : mappe chaque autorisation de Lake Formation accordée entre comptes à un partage de AWS RAM ressources. L'utilisateur (rôle du concédant ou principal) n'a pas besoin d'autorisations supplémentaires.

Méthode LF-TBAC : les autorisations accordées entre comptes sur la Lake Formation ne sont pas AWS RAM utilisées pour partager des données. L'utilisateur doit disposer d'une glue:PutResourcePolicy autorisation.

Avantages de la mise à jour des versions : Version initiale, non applicable.

Considérations relatives à la mise à jour des versions : Version initiale - non applicable

Version 2

Méthode des ressources nommées : optimise le nombre de partages de AWS RAM ressources en mappant plusieurs autorisations accordées entre comptes avec un seul partage de AWS RAM ressources. L'utilisateur n'a pas besoin d'autorisations supplémentaires.

Méthode LF-TBAC : les autorisations accordées entre comptes sur la Lake Formation ne sont pas AWS RAM utilisées pour partager des données. L'utilisateur doit disposer d'une glue:PutResourcePolicy autorisation.

Avantages de la mise à jour des versions : configuration multi-comptes évolutive grâce à une utilisation optimale de la AWS RAM capacité.

Considérations à prendre en compte lors de la mise à jour des versions : les utilisateurs qui souhaitent accorder des autorisations multi-comptes à Lake Formation doivent disposer des autorisations définies dans la politique AWSLakeFormationCrossAccountManager AWS gérée. Dans le cas contraire, vous devez disposer ram:AssociateResourceShare des ram:DisassociateResourceShare autorisations nécessaires pour partager correctement des ressources avec un autre compte.

Version 3

Méthode des ressources nommées : optimise le nombre de partages de AWS RAM ressources en mappant plusieurs autorisations accordées entre comptes avec un seul partage de AWS RAM ressources. L'utilisateur n'a pas besoin d'autorisations supplémentaires.

Méthode LF-TBAC : Lake Formation utilise AWS RAM pour les subventions entre comptes. L'utilisateur doit ajouter l'ShareResource instruction glue : à l'glue:PutResourcePolicyautorisation. Le destinataire doit accepter les invitations à partager des ressources provenant de AWS RAM.

Avantages de la mise à jour des versions : prend en charge les fonctionnalités suivantes :

  • Permet de partager des ressources de manière explicite avec un directeur IAM dans un compte externe.

    Pour de plus amples informations, veuillez consulter Octroi d'autorisations sur les ressources du catalogue de données.

  • Permet les partages entre comptes à l'aide de la méthode LF-TBAC pour les Organisations ou les unités organisationnelles (). OUs

  • Supprime les frais liés à la gestion de AWS Glue politiques supplémentaires pour les subventions entre comptes.

Considérations relatives à la mise à jour des versions : Lorsque vous utilisez la méthode LF-TBAC pour partager des ressources, si le concédant utilise une version inférieure à la version 3 et que le destinataire utilise la version 3 ou supérieure, le concédant reçoit le message d'erreur suivant : « Demande de subvention entre comptes non valide. Le compte client a opté pour la version multi-comptes : v3. Veuillez passer CrossAccountVersion DataLakeSetting à la version minimale v3 (Service : AmazonDataCatalog ; Code d'état : 400 ; Code d'erreur : InvalidInputException) ». Toutefois, si le concédant utilise la version 3 et que le destinataire utilise la version 1 ou la version 2, les subventions entre comptes utilisant des balises LF sont traitées avec succès.

Les subventions entre comptes accordées à l'aide de la méthode des ressources nommées sont compatibles entre les différentes versions. Même si le compte du concédant utilise une ancienne version (version 1 ou 2) et que le compte du bénéficiaire utilise une version plus récente (version 3 ou supérieure), la fonctionnalité d'accès entre comptes fonctionne parfaitement sans aucun problème de compatibilité ni erreur.

Pour partager des ressources directement avec les responsables IAM sur un autre compte, seul le donateur doit utiliser la version 3.

Les subventions entre comptes accordées à l'aide de la méthode LF-TBAC nécessitent que les utilisateurs disposent d'une politique de AWS Glue Data Catalog ressources dans le compte. Lorsque vous passez à la version 3, le LF-TBAC autorise des utilisations. AWS RAM Pour que les subventions AWS RAM basées sur plusieurs comptes soient couronnées de succès, vous devez ajouter la glue:ShareResource déclaration à vos politiques de ressources de catalogue de données existantes, comme indiqué dans la Gérer les autorisations entre comptes en utilisant les deux AWS Glue et Lake Formation section.

Version 4

Le concédant a besoin de la version 4 ou supérieure pour partager les ressources du catalogue de données en mode d'accès hybride ou pour partager des objets dans un catalogue fédéré.

Optimisez le partage AWS RAM des ressources

Les nouvelles versions (version 2 et supérieures) des subventions entre comptes utilisent de manière optimale la AWS RAM capacité afin de maximiser l'utilisation entre comptes. Lorsque vous partagez une ressource avec un responsable externe Compte AWS ou un directeur IAM, Lake Formation peut créer un nouveau partage de ressources ou associer la ressource à un partage existant. En s'associant à des actions existantes, Lake Formation réduit le nombre d'invitations à partager des ressources qu'un consommateur doit accepter.

Activez AWS RAM les partages via TBAC ou partagez les ressources directement avec les principaux

Pour partager des ressources directement avec les responsables IAM d'un autre compte ou pour activer les partages entre comptes TBAC vers des Organisations ou des unités organisationnelles, vous devez mettre à jour les paramètres de version entre comptes vers la version 3. Pour plus d'informations sur les limites de AWS RAM ressources, consultezMeilleures pratiques et considérations relatives au partage de données entre comptes.

Autorisations requises pour mettre à jour les paramètres des versions entre comptes

Si un octroyant des autorisations entre comptes a AWSLakeFormationCrossAccountManager géré les autorisations liées à la politique IAM, aucune configuration d'autorisation supplémentaire n'est requise pour le rôle ou le principal du concédant d'autorisations entre comptes. Toutefois, si le concédant entre comptes n'utilise pas la politique gérée, le rôle ou le principal du concédant doit disposer des autorisations IAM suivantes accordées pour que la nouvelle version de la subvention entre comptes soit couronnée de succès.

  
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
         "ram:AssociateResourceShare",
         "ram:DisassociateResourceShare",
         "ram:GetResourceShares"
       ],
     "Resource": "*",
     "Condition": {
       "StringLike": {
         "ram:ResourceShareName": "LakeFormation*"
        }
      }
    }
  ]
}

Pour activer la nouvelle version

Procédez comme suit pour mettre à jour les paramètres de version de plusieurs comptes via le AWS Lake Formation console ou le AWS CLI.

Console

  1. Choisissez la version 2, la version 3 ou la version 4 dans les paramètres de version multi-comptes sur la page des paramètres du catalogue de données. Si vous sélectionnez la version 1, Lake Formation utilisera le mode de partage des ressources par défaut.

    Data catalog settings page with options for permissions, AWS CloudTrail, and cross account versions.

  2. Choisissez Save (Enregistrer).

AWS Command Line Interface (AWS CLI)

Utilisez la put-data-lake-settings AWS CLI commande pour définir le CROSS_ACCOUNT_VERSION paramètre. Les valeurs acceptées sont 1, 2, 3 et 4.

aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
    "DataLakeAdmins": [
        {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/test"
        }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "Parameters": {
        "CROSS_ACCOUNT_VERSION": "3"
    }
}
anchoranchor

  1. Choisissez la version 2, la version 3 ou la version 4 dans les paramètres de version multi-comptes sur la page des paramètres du catalogue de données. Si vous sélectionnez la version 1, Lake Formation utilisera le mode de partage des ressources par défaut.

    Data catalog settings page with options for permissions, AWS CloudTrail, and cross account versions.

  2. Choisissez Save (Enregistrer).
Important

Une fois que vous aurez choisi la version 2 ou la version 3, toutes les nouvelles subventions de ressources nommées passeront par le nouveau mode d'attribution entre comptes. Pour utiliser de manière optimale la AWS RAM capacité de vos partages entre comptes existants, nous vous recommandons de révoquer les autorisations accordées avec l'ancienne version et de les réattribuer dans le nouveau mode.

Sur cette page

Related resources

AWS Lake Formation Référence d'API
AWS CLI commandes pour AWS Lake Formation
SDKs et outils 

Related resources

AWS Lake Formation Référence d'API
AWS CLI commandes pour AWS Lake Formation
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.