Memperbarui pengaturan versi berbagi data lintas akun - AWS Lake Formation
Perbedaan utama antara pengaturan versi lintas akunOptimalkan pembagian AWS RAM sumber dayaAktifkan AWS RAM pembagian melalui TBAC atau bagikan sumber daya langsung ke kepala sekolahUntuk mengaktifkan versi baru

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memperbarui pengaturan versi berbagi data lintas akun

Dari waktu ke waktu, AWS Lake Formation memperbarui pengaturan berbagi data lintas akun untuk membedakan perubahan yang dilakukan pada AWS RAM penggunaan dan untuk mendukung pembaruan yang dilakukan pada fitur berbagi data lintas akun. Ketika Lake Formation melakukan ini, itu membuat versi baru dari pengaturan versi akun Cross.

Perbedaan utama antara pengaturan versi lintas akun

Untuk informasi selengkapnya tentang cara kerja berbagi data lintas akun di bawah pengaturan versi Cross account yang berbeda, lihat bagian berikut.

catatan

Untuk berbagi data dengan akun lain, pemberi harus memiliki izin IAM kebijakan yang AWSLakeFormationCrossAccountManager dikelola. Ini adalah prasyarat untuk semua versi.

Memperbarui pengaturan versi Cross account tidak memengaruhi izin yang dimiliki penerima pada sumber daya bersama. Ini berlaku saat memperbarui dari versi 1 ke versi 2, versi 2 ke versi 3, dan versi 1 ke versi 3. Lihat pertimbangan yang tercantum di bawah ini saat memperbarui versi.

Versi 1

Metode sumber daya bernama: Memetakan setiap hibah izin Lake Formation lintas akun ke satu pembagian AWS RAM sumber daya. Pengguna (peran pemberi atau prinsipal) tidak memerlukan izin tambahan.

TBACMetode LF-: Hibah izin Lake Formation lintas akun tidak digunakan AWS RAM untuk berbagi data. Pengguna harus memiliki glue:PutResourcePolicy izin.

Manfaat dari memperbarui versi: Versi awal - tidak berlaku.

Pertimbangan saat memperbarui versi: Versi awal - tidak berlaku

Versi 2

Metode sumber daya bernama: Mengoptimalkan jumlah pembagian AWS RAM sumber daya dengan memetakan beberapa hibah izin lintas akun dengan satu pembagian sumber daya. AWS RAM Pengguna tidak memerlukan izin tambahan.

TBACMetode LF-: Hibah izin Lake Formation lintas akun tidak digunakan AWS RAM untuk berbagi data. Pengguna harus memiliki glue:PutResourcePolicy izin.

Manfaat dari memperbarui versi: Pengaturan lintas akun yang dapat diskalakan dengan pemanfaatan kapasitas yang optimal. AWS RAM

Pertimbangan saat memperbarui versi: Pengguna yang ingin memberikan izin Lake Formation lintas akun harus memiliki izin dalam kebijakan terkelola. AWSLakeFormationCrossAccountManager AWS Jika tidak, Anda harus memiliki ram:AssociateResourceShare dan ram:DisassociateResourceShare izin untuk berhasil berbagi sumber daya dengan akun lain.

Versi 3

Metode sumber daya bernama: Mengoptimalkan jumlah pembagian AWS RAM sumber daya dengan memetakan beberapa hibah izin lintas akun dengan satu pembagian sumber daya. AWS RAM Pengguna tidak memerlukan izin tambahan.

TBACMetode LF: Lake Formation digunakan AWS RAM untuk hibah lintas akun. Pengguna harus menambahkan lem: ShareResource pernyataan untuk glue:PutResourcePolicy izin. Penerima harus menerima undangan berbagi sumber daya dari. AWS RAM

Manfaat dari memperbarui versi: Mendukung kemampuan berikut:

  • Memungkinkan berbagi sumber daya secara eksplisit dengan IAM prinsipal di akun eksternal.

    Untuk informasi selengkapnya, lihat Memberikan izin pada sumber daya Katalog Data.

  • Memungkinkan saham lintas akun menggunakan TBAC metode LF ke Organizations atau unit organisasi ()OUs.

  • Menghapus overhead pemeliharaan AWS Glue kebijakan tambahan untuk hibah lintas akun.

Pertimbangan saat memperbarui versi: Saat Anda menggunakan TBAC metode LF- untuk berbagi sumber daya, jika pemberi menggunakan versi yang lebih rendah dari versi 3, dan penerima menggunakan versi 3 atau lebih tinggi, pemberi menerima pesan galat berikut: “Permintaan hibah lintas akun tidak valid. Akun konsumen memiliki opt-in untuk versi lintas akun: v3. Harap CrossAccountVersion perbarui DataLakeSetting ke versi minimal v3 (Layanan: AmazonDataCatalog; Kode Status: 400; Kode Kesalahan: InvalidInputException)”. Namun, jika pemberi menggunakan versi 3 dan penerima menggunakan versi 1 atau versi 2, hibah lintas akun menggunakan LF-tag berhasil.

Hibah lintas akun yang dibuat menggunakan metode sumber daya bernama kompatibel di berbagai versi. Bahkan jika akun pemberi menggunakan versi yang lebih lama (versi 1 atau 2) dan akun penerima menggunakan versi yang lebih baru (versi 3 atau lebih tinggi), fungsi akses lintas akun beroperasi dengan mulus tanpa masalah kompatibilitas atau kesalahan.

Untuk berbagi sumber daya secara langsung dengan IAM kepala sekolah di akun lain, hanya pemberi yang perlu menggunakan versi 3.

Hibah lintas akun yang dibuat menggunakan TBAC metode LF- mengharuskan pengguna untuk memiliki kebijakan AWS Glue Data Catalog sumber daya di akun. Saat Anda memperbarui ke versi 3, LF- TBAC memberikan penggunaan. AWS RAM Agar hibah lintas akun AWS RAM berbasis berhasil, Anda harus menambahkan glue:ShareResource pernyataan ke kebijakan sumber daya Katalog Data yang ada seperti yang ditunjukkan di bagianMengelola izin lintas akun menggunakan keduanya AWS Glue dan Lake Formation.

Versi 4

Pemberi membutuhkan versi 4 atau lebih tinggi untuk berbagi sumber daya Katalog Data dalam mode akses hybrid.

Optimalkan pembagian AWS RAM sumber daya

Versi baru (versi 2 ke atas) hibah lintas akun secara optimal memanfaatkan AWS RAM kapasitas untuk memaksimalkan penggunaan lintas akun. Saat Anda berbagi sumber daya dengan eksternal Akun AWS atau IAM kepala sekolah, Lake Formation dapat membuat pembagian sumber daya baru atau mengaitkan sumber daya dengan bagian yang ada. Dengan berasosiasi dengan saham yang ada, Lake Formation mengurangi jumlah undangan pembagian sumber daya yang harus diterima konsumen.

Aktifkan AWS RAM pembagian melalui TBAC atau bagikan sumber daya langsung ke kepala sekolah

Untuk berbagi sumber daya secara langsung dengan IAM prinsipal di akun lain atau untuk mengaktifkan TBAC pembagian lintas akun ke Organizations atau unit organisasi, Anda perlu memperbarui pengaturan versi Cross account ke versi 3. Untuk informasi selengkapnya tentang batas AWS RAM sumber daya, lihatPraktik dan pertimbangan terbaik berbagi data lintas akun.

Izin yang diperlukan untuk memperbarui pengaturan versi lintas akun

Jika pemberi izin lintas akun telah AWSLakeFormationCrossAccountManager mengelola izin IAM kebijakan, maka tidak ada pengaturan izin tambahan yang diperlukan untuk peran pemberi izin lintas akun atau prinsipal. Namun, jika pemberi lintas akun tidak menggunakan kebijakan terkelola, maka peran pemberi atau prinsipal harus memiliki IAM izin berikut yang diberikan agar versi baru hibah lintas akun berhasil.

  
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
         "ram:AssociateResourceShare",
         "ram:DisassociateResourceShare",
         "ram:GetResourceShares"
       ],
     "Resource": "*",
     "Condition": {
       "StringLike": {
         "ram:ResourceShareName": "LakeFormation*"
        }
      }
    }
  ]
}

Untuk mengaktifkan versi baru

Ikuti langkah-langkah ini untuk memperbarui pengaturan versi Cross account melalui AWS Lake Formation konsol atau AWS CLI.

Console

  1. Pilih Versi 2, Versi 3, atau Versi 4 di bawah Pengaturan versi akun silang pada halaman Pengaturan katalog data. Jika Anda memilih Versi 1, Lake Formation akan menggunakan mode berbagi sumber daya default.

    Data catalog settings page with options for permissions, AWS CloudTrail, and cross account versions.

  2. Pilih Simpan.

AWS Command Line Interface (AWS CLI)

Gunakan put-data-lake-settings AWS CLI perintah untuk mengatur CROSS_ACCOUNT_VERSION parameter. Nilai yang diterima adalah 1, 2, 3, dan 4.

aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
    "DataLakeAdmins": [
        {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/test"
        }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "Parameters": {
        "CROSS_ACCOUNT_VERSION": "3"
    }
}
penting

Setelah Anda memilih Versi 2 atau Versi 3, semua hibah sumber daya bernama baru akan melalui mode hibah lintas akun baru. Untuk menggunakan AWS RAM kapasitas secara optimal untuk saham lintas akun Anda yang ada, kami sarankan Anda untuk mencabut hibah yang dibuat dengan versi lama, dan memberikan kembali dalam mode baru.