Berbagi data lake menggunakan kontrol akses berbasis tag Lake Formation dan sumber daya bernama - AWS Lake Formation
Audiens yang ditujuKonfigurasikan pengaturan Lake FormationLangkah 1: Menyediakan sumber daya Anda menggunakan AWS CloudFormation templateLangkah 2: Prasyarat berbagi lintas akun Lake FormationLangkah 3: Terapkan berbagi lintas akun menggunakan metode kontrol akses berbasis tagLangkah 4: Menerapkan metode sumber daya bernamaLangkah 5: Bersihkan AWS sumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Berbagi data lake menggunakan kontrol akses berbasis tag Lake Formation dan sumber daya bernama

Tutorial ini menunjukkan bagaimana Anda dapat mengkonfigurasi AWS Lake Formation untuk aman berbagi data yang disimpan dalam data lake dengan beberapa perusahaan, organisasi, atau unit bisnis, tanpa harus menyalin seluruh database. Ada dua opsi untuk berbagi database dan tabel Anda dengan yang lain Akun AWS dengan menggunakan kontrol akses lintas akun Lake Formation:

  • Kontrol akses berbasis tag Lake Formation (disarankan)

    Kontrol akses berbasis tag Lake Formation adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut. Dalam Lake Formation, atribut ini disebut LF-tag. Untuk detail selengkapnya, lihat Mengelola data lake menggunakan kontrol akses berbasis tag Lake Formation.

  • Lake Formation bernama sumber daya

    Metode sumber daya bernama Lake Formation adalah strategi otorisasi yang mendefinisikan izin untuk sumber daya. Sumber daya termasuk database, tabel, dan kolom. Administrator data lake dapat menetapkan dan mencabut izin pada sumber daya Lake Formation. Untuk detail selengkapnya, lihat Berbagi data lintas akun di Lake Formation.

    Sebaiknya gunakan sumber daya bernama jika administrator data lake lebih suka memberikan izin secara eksplisit ke sumber daya individu. Saat Anda menggunakan metode sumber daya bernama untuk memberikan izin Lake Formation pada sumber daya Katalog Data ke akun eksternal, Lake Formation menggunakan AWS Resource Access Manager (AWS RAM) untuk membagikan sumber daya.

Audiens yang dituju

Tutorial ini ditujukan untuk pengelola data, insinyur data, dan analis data. Dalam hal berbagi tabel Katalog Data dari AWS Glue dan mengelola izin di Lake Formation, pengelola data dalam akun penghasil memiliki kepemilikan fungsional berdasarkan fungsi yang mereka dukung, dan dapat memberikan akses ke berbagai konsumen, organisasi eksternal, dan akun. Tabel berikut mencantumkan peran yang digunakan dalam tutorial ini:

Peran Deskripsi
DataLakeAdminProducer IAMPengguna admin data lake memiliki akses berikut:

  • Akses baca, tulis, dan perbarui lengkap ke semua sumber daya di Katalog Data

  • Kemampuan untuk memberikan izin ke sumber daya

  • Dapat membuat link sumber daya untuk tabel bersama

  • Dapat melampirkan tag LF ke sumber daya, yang menyediakan akses ke prinsipal berdasarkan kebijakan apa pun yang dibuat oleh pengelola data

DataLakeAdminConsumer

IAMPengguna admin data lake memiliki akses berikut:

  • Akses baca, tulis, dan perbarui lengkap ke semua sumber daya di Katalog Data

  • Kemampuan untuk memberikan izin ke sumber daya

  • Dapat membuat link sumber daya untuk tabel bersama

  • Dapat melampirkan tag LF ke sumber daya, yang menyediakan akses ke prinsipal berdasarkan kebijakan apa pun yang dibuat oleh pengelola data
DataAnalyst DataAnalyst Pengguna memiliki akses berikut:

  • Akses halus ke sumber daya yang dibagikan oleh kebijakan akses berbasis tag Lake Formation atau menggunakan metode sumber daya bernama

Konfigurasikan pengaturan Katalog Data Lake Formation di akun produsen

Sebelum Anda memulai tutorial ini, Anda harus memiliki Akun AWS yang dapat Anda gunakan untuk masuk sebagai pengguna administratif dengan izin yang benar. Untuk informasi selengkapnya, lihat Selesaikan tugas AWS konfigurasi awal.

Tutorial mengasumsikan bahwa Anda sudah familiar denganIAM. Untuk selengkapnyaIAM, lihat Panduan IAM Pengguna.

Konfigurasikan pengaturan Katalog Data Lake Formation di akun produsen
catatan

Dalam tutorial ini, akun yang memiliki tabel sumber disebut akun produser, dan akun yang membutuhkan akses ke tabel sumber disebut akun konsumen.

Lake Formation menyediakan model manajemen izinnya sendiri. Untuk mempertahankan kompatibilitas mundur dengan model IAM izin, Super izin diberikan kepada grup IAMAllowedPrincipals pada semua AWS Glue Data Catalog sumber daya yang ada secara default. Selain itu, Gunakan hanya pengaturan kontrol IAM akses diaktifkan untuk sumber daya Katalog Data baru. Tutorial ini menggunakan kontrol akses berbutir halus menggunakan izin Lake Formation dan menggunakan IAM kebijakan untuk kontrol akses berbutir kasar. Lihat Metode untuk kontrol akses berbutir halus untuk detail. Oleh karena itu, sebelum Anda menggunakan AWS CloudFormation template untuk pengaturan cepat, Anda perlu mengubah pengaturan Katalog Data Lake Formation di akun produsen.

penting

Pengaturan ini memengaruhi semua database dan tabel yang baru dibuat, jadi kami sangat menyarankan untuk menyelesaikan tutorial ini di akun non-produksi atau di akun baru. Juga, jika Anda menggunakan akun bersama (seperti akun pengembangan perusahaan Anda), pastikan itu tidak memengaruhi sumber daya orang lain. Jika Anda lebih suka mempertahankan pengaturan keamanan default, Anda harus menyelesaikan langkah ekstra saat berbagi sumber daya ke akun lain, di mana Anda mencabut izin Super default dari IAMAllowedPrincipals database atau tabel. Kami membahas detailnya nanti dalam tutorial ini.

Untuk mengonfigurasi pengaturan Katalog Data Lake Formation di akun produsen, selesaikan langkah-langkah berikut:

  1. Masuk ke AWS Management Console menggunakan akun produser sebagai pengguna admin, atau sebagai pengguna dengan PutDataLakeSettings API izin Lake Formation.

  2. Di konsol Lake Formation, di panel navigasi, di bawah Katalog Data, pilih Pengaturan.

  3. Hapus pilihan Gunakan hanya kontrol IAM akses untuk database baru dan Gunakan hanya kontrol IAM akses untuk tabel baru di database baru

    Pilih Simpan.

    Data catalog settings interface for AWS Lake Formation with permission options.

    Selain itu, Anda dapat menghapus CREATE_DATABASE izin untuk IAMAllowedPrincipals peran dan tugas Administratif, pembuat basis data. Hanya dengan begitu, Anda dapat mengatur siapa yang dapat membuat database baru melalui izin Lake Formation.

Langkah 1: Menyediakan sumber daya Anda menggunakan AWS CloudFormation template

CloudFormation Template untuk akun produsen menghasilkan sumber daya berikut:

  • Bucket Amazon S3 untuk berfungsi sebagai data lake.

  • Fungsi Lambda (untuk sumber daya kustom yang didukung Lambda AWS CloudFormation ). Kami menggunakan fungsi ini untuk menyalin file data sampel dari bucket Amazon S3 publik ke bucket Amazon S3 Anda.

  • IAMpengguna dan kebijakan: DataLakeAdminProducer.

  • Pengaturan dan izin Lake Formation yang sesuai termasuk:

    • Mendefinisikan administrator danau data Lake Formation di akun produsen

    • Mendaftarkan bucket Amazon S3 sebagai lokasi danau data Lake Formation (akun produsen)

  • AWS Glue Data Catalog Database, tabel, dan partisi. Karena ada dua opsi untuk berbagi sumber daya Akun AWS, template ini membuat dua set database dan tabel terpisah.

AWS CloudFormation Template untuk akun konsumen menghasilkan sumber daya berikut:

  • IAMpengguna dan kebijakan:

    • DataLakeAdminConsumer

    • DataAnalyst

  • AWS Glue Data Catalog Database. Database ini untuk membuat tautan sumber daya ke sumber daya bersama.

Buat sumber daya Anda di akun produsen

  1. Masuk ke AWS CloudFormation konsol di https://console.aws.amazon.com/cloudformation di wilayah US East (Virginia N.).

  2. Pilih Launch Stack.

  3. Pilih Berikutnya.

  4. Untuk nama Stack, masukkan nama tumpukan, sepertistack-producer.

  5. Di bagian Konfigurasi Pengguna, masukkan nama pengguna dan kata sandi untuk ProducerDatalakeAdminUserName danProducerDatalakeAdminUserPassword.

  6. Untuk DataLakeBucketName, masukkan nama bucket danau data Anda. Nama ini harus unik secara global.

  7. Untuk DatabaseNamedan TableName, tinggalkan nilai default.

  8. Pilih Berikutnya.

  9. Di halaman berikutnya, pilih Berikutnya.

  10. Tinjau detail di halaman akhir dan pilih Saya akui yang AWS CloudFormation mungkin membuat IAM sumber daya.

  11. Pilih Buat.

    Pembuatan tumpukan bisa memakan waktu hingga satu menit.

Buat sumber daya Anda di akun konsumen

  1. Masuk ke AWS CloudFormation konsol di https://console.aws.amazon.com/cloudformation di wilayah US East (Virginia N.).

  2. Pilih Launch Stack.

  3. Pilih Berikutnya.

  4. Untuk nama Stack, masukkan nama tumpukan, sepertistack-consumer.

  5. Di bagian Konfigurasi Pengguna, masukkan nama pengguna dan kata sandi untuk ConsumerDatalakeAdminUserName danConsumerDatalakeAdminUserPassword.

  6. Untuk DataAnalystUserName danDataAnalystUserPassword, masukkan nama pengguna dan kata sandi yang Anda inginkan untuk IAM pengguna analis data.

  7. Untuk DataLakeBucketName, masukkan nama bucket danau data Anda. Nama ini harus unik secara global.

  8. Untuk DatabaseName, tinggalkan nilai default.

  9. UntukAthenaQueryResultS3BucketName, masukkan nama bucket Amazon S3 yang menyimpan hasil kueri Amazon Athena. Jika Anda tidak memilikinya, buat ember Amazon S3.

  10. Pilih Berikutnya.

  11. Di halaman berikutnya, pilih Berikutnya.

  12. Tinjau detail di halaman akhir dan pilih Saya akui yang AWS CloudFormation mungkin membuat IAM sumber daya.

  13. Pilih Buat.

    Pembuatan tumpukan dapat memakan waktu hingga satu menit.

catatan

Setelah menyelesaikan tutorial, hapus tumpukan AWS CloudFormation untuk menghindari biaya yang dikenakan. Verifikasi bahwa sumber daya berhasil dihapus dalam status acara untuk tumpukan.

Langkah 2: Prasyarat berbagi lintas akun Lake Formation

Sebelum berbagi sumber daya dengan Lake Formation, ada prasyarat untuk metode kontrol akses berbasis tag dan metode sumber daya bernama.

Prasyarat berbagi data lintas akun kontrol akses berbasis tag lengkap

  • Untuk informasi selengkapnya tentang persyaratan berbagi data lintas akun, lihat Prasyarat bagian di bagian berbagi data lintas akun.

    Untuk membagikan sumber daya Katalog Data dengan versi 3 atau lebih tinggi dari setelan versi Cross account, pemberi harus memiliki IAM izin yang ditentukan dalam kebijakan AWS AWSLakeFormationCrossAccountManager terkelola di akun Anda.

    Jika Anda menggunakan versi 1 atau versi 2 dari pengaturan versi Cross account, sebelum Anda dapat menggunakan metode kontrol akses berbasis tag untuk memberikan akses lintas akun ke sumber daya, Anda harus menambahkan objek JSON izin berikut ke kebijakan sumber daya Katalog Data di akun produsen. Ini memberikan izin akun konsumen untuk mengakses Katalog Data ketika glue:EvaluatedByLakeFormationTags benar. Selain itu, kondisi ini menjadi benar untuk sumber daya yang Anda berikan izin menggunakan tag izin Lake Formation ke akun konsumen. Kebijakan ini diperlukan Akun AWS untuk setiap yang Anda berikan izin.

    Kebijakan berikut harus berada dalam Statement elemen. Kami membahas IAM kebijakan lengkap di bagian selanjutnya.

    {
    "Effect": "Allow",
    "Action": [
        "glue:*"
    ],
    "Principal": {
        "AWS": [
            "consumer-account-id"
        ]
    },
    "Resource": [
        "arn:aws:glue:region:account-id:table/*",
        "arn:aws:glue:region:account-id:database/*",
        "arn:aws:glue:region:account-id:catalog"
    ],
    "Condition": {
        "Bool": {
            "glue:EvaluatedByLakeFormationTags": true
        }
    }
}
Prasyarat berbagi lintas akun metode sumber daya bernama lengkap

  1. Jika tidak ada kebijakan sumber daya Katalog Data di akun Anda, hibah lintas akun Lake Formation yang Anda lakukan seperti biasa. Namun, jika kebijakan sumber daya Katalog Data ada, Anda harus menambahkan pernyataan berikut untuk mengizinkan hibah lintas akun Anda berhasil jika dibuat dengan metode sumber daya bernama. Jika Anda berencana untuk hanya menggunakan metode sumber daya bernama, atau hanya metode kontrol akses berbasis tag, Anda dapat melewati langkah ini. Dalam tutorial ini, kita mengevaluasi kedua metode, dan kita perlu menambahkan kebijakan berikut.

    Kebijakan berikut harus berada dalam Statement elemen. Kami membahas IAM kebijakan lengkap di bagian selanjutnya.

    {
          "Effect": "Allow",
          "Action": [
          "glue:ShareResource"
          ],
          "Principal": {
            "Service":"ram.amazonaws.com"
          },
          "Resource": [
              "arn:aws:glue:region:account-id:table/*/*",
              "arn:aws:glue:region:account-id:database/*",
              "arn:aws:glue:region:account-id:catalog"
          ]
}

  2. Selanjutnya, tambahkan kebijakan AWS Glue Data Catalog sumber daya menggunakan AWS Command Line Interface (AWS CLI).

    Jika Anda memberikan izin lintas akun dengan menggunakan metode kontrol akses berbasis tag dan metode sumber daya bernama, Anda harus menetapkan EnableHybrid argumen ke 'true' saat menambahkan kebijakan sebelumnya. Karena opsi ini saat ini tidak didukung di konsol, dan Anda harus menggunakan glue:PutResourcePolicy API dan AWS CLI.

    Pertama, buat dokumen kebijakan (seperti policy.json) dan tambahkan dua kebijakan sebelumnya. Ganti consumer-account-id dengan account ID dari Akun AWS penerima hibah, region dengan Wilayah Katalog Data yang berisi database dan tabel tempat Anda memberikan izin, dan account-id dengan Akun AWS ID produser.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ram.amazonaws.com"
            },
            "Action": "glue:ShareResource",
            "Resource": [
                "arn:aws:glue:region:account-id:table/*/*",
                "arn:aws:glue:region:account-id:database/*",
                "arn:aws:glue:region:account-id:catalog"
            ]
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "region:account-id"
            },
            "Action": "glue:*",
            "Resource": [
                "arn:aws:glue:region:account-id:table/*/*",
                "arn:aws:glue:region:account-id:database/*",
                "arn:aws:glue:region:account-id:catalog"
            ],
            "Condition": {
                "Bool": {
                    "glue:EvaluatedByLakeFormationTags": "true"
                }
            }
        }
    ]
}

    Masukkan AWS CLI perintah berikut. Ganti glue-resource-policy dengan nilai yang benar (seperti file: //policy.json).

    aws glue put-resource-policy --policy-in-json glue-resource-policy --enable-hybrid TRUE

    Untuk informasi lebih lanjut, lihat put-resource-policy.

Langkah 3: Terapkan berbagi lintas akun menggunakan metode kontrol akses berbasis tag

Di bagian ini, kami memandu Anda melalui langkah-langkah tingkat tinggi berikut:

  1. Tentukan LF-tag.

  2. Tetapkan LF-tag ke sumber daya target.

  3. Berikan izin LF-tag ke akun konsumen.

  4. Berikan izin data ke akun konsumen.

  5. Secara opsional, cabut izin untuk IAMAllowedPrincipals pada database, tabel, dan kolom.

  6. Buat tautan sumber daya ke tabel bersama.

  7. Buat LF-tag dan tetapkan ke database target.

  8. Berikan izin data LF-tag ke akun konsumen.

Mendefinisikan LF-tag
catatan

Jika Anda masuk ke akun produser Anda, keluar sebelum menyelesaikan langkah-langkah berikut.

  1. Masuk ke akun produser sebagai administrator danau data di https://console.aws.amazon.com/lakeformation/. Gunakan nomor akun produsen, nama IAM pengguna (defaultnya adalahDatalakeAdminProducer), dan kata sandi yang Anda tentukan selama pembuatan AWS CloudFormation tumpukan.

  2. Di konsol Lake Formation (https://console.aws.amazon.com/lakeformation/), di panel navigasi, di bawah Izin, pilih LF-tag dan Izin.

  3. Pilih Tambahkan LF-Tag.

Tetapkan LF-tag ke sumber daya target

Tetapkan LF-tag ke sumber daya target dan berikan izin data ke akun lain

Sebagai administrator data lake, Anda dapat melampirkan tag ke sumber daya. Jika Anda berencana untuk menggunakan peran terpisah, Anda mungkin harus memberikan izin menjelaskan dan melampirkan ke peran terpisah.

  1. Di panel navigasi, di bawah Katalog Data, pilih Database.

  2. Pilih database target (lakeformation_tutorial_cross_account_database_tbac) dan pada menu Tindakan, pilih Edit LF-tag.

    Untuk tutorial ini, Anda menetapkan LF-tag ke database, tetapi Anda juga dapat menetapkan LF-tag ke tabel dan kolom.

  3. Pilih Tetapkan LF-Tag baru.

  4. Tambahkan kunci Confidentiality dan nilaipublic.

  5. Pilih Simpan.

Berikan izin LF-tag ke akun konsumen

Masih di akun produsen, berikan izin ke akun konsumen untuk mengakses LF-tag.

  1. Di panel navigasi, di bawah Izin, pilih LF-tag dan izin.

  2. Pilih tab LF-tag, dan pilih kunci dan nilai LF-tag yang sedang dibagikan dengan akun konsumen (kunci Confidentiality dan nilai). public

  3. Pilih Berikan izin.

  4. Untuk jenis Izin, pilih izin pasangan nilai kunci LF-tag.

  5. Untuk Prinsipal, pilih Akun eksternal.

  6. Masukkan Akun AWS ID target.

    Akun AWS dalam organisasi yang sama muncul secara otomatis. Jika tidak, Anda harus memasukkan Akun AWS ID secara manual.

  7. Di bawah Izin, pilih Jelaskan.

    Ini adalah izin yang diberikan ke akun konsumen. Izin yang dapat diberikan adalah izin yang dapat diberikan oleh akun konsumen kepada prinsipal lain.

  8. PilihIzin.

    Pada titik ini, administrator danau data konsumen harus dapat menemukan tag kebijakan yang dibagikan melalui konsol Lake Formation akun konsumen, di bawah Izin, LF-tag, dan izin.

Berikan izin data ke akun konsumen

Kami sekarang akan menyediakan akses data ke akun konsumen dengan menentukan ekspresi LF-tag dan memberikan akses akun konsumen ke tabel atau database apa pun yang cocok dengan ekspresi..

  1. Di panel navigasi, di bawah Izin, Izin danau data, pilih Hibah.

  2. Untuk Prinsipal, pilih Akun eksternal, dan masukkan ID target. Akun AWS

  3. Untuk LF-tag atau sumber katalog, pilih kunci dan nilai LF-tag yang sedang dibagikan dengan akun konsumen (kunci Confidentiality dan nilai). public

  4. Untuk Izin, di bawah Sumber daya yang cocok dengan LF-tag (disarankan) pilih Tambahkan LF-tag.

  5. Pilih kunci dan nilai tag yang dibagikan dengan akun konsumen (kunci Confidentiality dan nilaipublic).

  6. Untuk izin Database, pilih Jelaskan di bawah Izin database untuk memberikan izin akses di tingkat database.

  7. Administrator danau data konsumen harus dapat menemukan tag kebijakan yang dibagikan melalui akun konsumen di konsol Lake Formation di, di bawah Izin https://console.aws.amazon.com/lakeformation/, peran dan tugas Administratif, LF-tag.

  8. Pilih Jelaskan di bawah Izin yang dapat diberikan sehingga akun konsumen dapat memberikan izin tingkat database kepada penggunanya.

  9. Untuk izin Tabel dan kolom, pilih Pilih dan Jelaskan di bawah Izin tabel.

  10. Pilih Pilih dan Jelaskan di bawah Izin yang dapat diberikan.

  11. PilihIzin.

Mencabut izin untuk IAMAllowedPrincipals database, tabel, dan kolom (Opsional).

Di awal tutorial ini, Anda mengubah pengaturan Katalog Data Lake Formation. Jika Anda melewatkan bagian itu, langkah ini diperlukan. Jika Anda mengubah pengaturan Katalog Data Lake Formation, Anda dapat melewati langkah ini.

Pada langkah ini, kita perlu mencabut izin Super default dari IAMAllowedPrincipals database atau tabel. Lihat Langkah 4: Alihkan penyimpanan data Anda ke model izin Lake Formation untuk detail.

Sebelum mencabut izin untukIAMAllowedPrincipals, pastikan bahwa Anda memberikan IAM kepala sekolah yang ada dengan izin yang diperlukan melalui Lake Formation. Ini termasuk tiga langkah:

  1. Tambahkan IAM izin ke IAM pengguna target atau peran dengan GetDataAccess tindakan Lake Formation (dengan IAM kebijakan).

  2. Berikan IAM pengguna target atau peran dengan izin data Lake Formation (ubah, pilih, dan sebagainya).

  3. Kemudian, cabut izin untuk. IAMAllowedPrincipals Jika tidak, setelah mencabut izin untukIAMAllowedPrincipals, IAM prinsipal yang ada mungkin tidak lagi dapat mengakses database target atau Katalog Data.

    Pencabutan izin Super untuk IAMAllowedPrincipals diperlukan saat Anda ingin menerapkan model izin Lake Formation (bukan model IAM kebijakan) untuk mengelola akses pengguna dalam satu akun atau di antara beberapa akun menggunakan model izin Lake Formation. Anda tidak perlu mencabut izin IAMAllowedPrincipals untuk tabel lain di mana Anda ingin mempertahankan model IAM kebijakan tradisional.

    Pada titik ini, administrator danau data akun konsumen harus dapat menemukan database dan tabel yang dibagikan melalui akun konsumen di konsol Lake Formation di https://console.aws.amazon.com/lakeformation/, di bawah Data Catalog, database. Jika tidak, konfirmasikan apakah yang berikut ini dikonfigurasi dengan benar:

    1. Tag kebijakan dan nilai yang benar ditetapkan ke database dan tabel target.

    2. Izin tag dan izin data yang benar ditetapkan ke akun konsumen.

    3. Cabut izin super default dari IAMAllowedPrincipals database atau tabel.

Buat tautan sumber daya ke tabel bersama

Ketika sumber daya dibagi antar akun, dan sumber daya bersama tidak dimasukkan ke dalam Katalog Data akun konsumen. Untuk membuatnya tersedia, dan menanyakan data dasar tabel bersama menggunakan layanan seperti Athena, kita perlu membuat tautan sumber daya ke tabel bersama. Tautan sumber daya adalah objek Katalog Data yang merupakan tautan ke database atau tabel lokal atau bersama. Untuk detailnya, lihat Membuat tautan sumber daya. Dengan membuat tautan sumber daya, Anda dapat:

  • Tetapkan nama yang berbeda ke database atau tabel yang sejajar dengan kebijakan penamaan sumber daya Katalog Data Anda.

  • Gunakan layanan seperti Athena dan Redshift Spectrum untuk menanyakan database atau tabel bersama.

Untuk membuat tautan sumber daya, selesaikan langkah-langkah berikut:

  1. Jika Anda masuk ke akun konsumen Anda, keluar.

  2. Masuk sebagai administrator danau data akun konsumen. Gunakan ID akun konsumen, nama IAM pengguna (default DatalakeAdminConsumer) dan kata sandi yang Anda tentukan selama pembuatan AWS CloudFormation tumpukan.

  3. Di konsol Lake Formation (https://console.aws.amazon.com/lakeformation/), di panel navigasi, di bawah Katalog Data, Database, pilih database bersama. lakeformation_tutorial_cross_account_database_tbac

    Jika Anda tidak melihat database, kunjungi kembali langkah-langkah sebelumnya untuk melihat apakah semuanya sudah dikonfigurasi dengan benar.

  4. Pilih Lihat Tabel.

  5. Pilih tabel bersamaamazon_reviews_table_tbac.

  6. Pada menu Tindakan, pilih Buat tautan sumber daya.

  7. Untuk nama link Resource, masukkan nama (untuk tutorial ini,amazon_reviews_table_tbac_resource_link).

  8. Di bawah Database, pilih database tempat tautan sumber daya dibuat (untuk posting ini, tumpukan AWS CloudFormation n membuat databaselakeformation_tutorial_cross_account_database_consumer).

  9. Pilih Buat.

    Tautan sumber daya muncul di bawah Katalog data, Tabel.

Buat LF-tag dan tetapkan ke database target

Tag Lake Formation berada di Katalog Data yang sama dengan sumber daya. Ini berarti bahwa tag yang dibuat di akun produsen tidak tersedia untuk digunakan saat memberikan akses ke tautan sumber daya di akun konsumen. Anda perlu membuat satu set tag LF terpisah di akun konsumen untuk menggunakan kontrol akses berbasis tag LF saat membagikan tautan sumber daya di akun konsumen.

  1. Tentukan LF-tag di akun konsumen. Untuk tutorial ini, kita menggunakan kunci Division dan nilaisales,marketing, dananalyst.

  2. Tetapkan kunci Division dan nilai LF-tag analyst ke databaselakeformation_tutorial_cross_account_database_consumer, tempat tautan sumber daya dibuat.

Berikan izin data LF-tag kepada konsumen

Sebagai langkah terakhir, berikan izin data LF-tag kepada konsumen.

  1. Di panel navigasi, di bawah Izin, Izin danau data, pilih Hibah.

  2. Untuk Prinsipal, pilih IAMpengguna dan peran, dan pilih pengguna. DataAnalyst

  3. Untuk tag LF atau sumber katalog, pilih Sumber daya yang cocok dengan LF-tag (disarankan).

  4. Pilih Divisi kunci dan analis nilai.

  5. Untuk izin Database, pilih Jelaskan di bawah Izin database.

  6. Untuk izin Tabel dan kolom, pilih Pilih dan Jelaskan di bawah Izin tabel.

  7. PilihIzin.

  8. Ulangi langkah-langkah ini untuk penggunaDataAnalyst, di mana kunci LF-tag Confidentiality dan nilainya. public

    Pada titik ini, pengguna analis data di akun konsumen harus dapat menemukan database dan tautan sumber daya, dan menanyakan tabel bersama melalui konsol Athena di. https://console.aws.amazon.com/athena/ Jika tidak, konfirmasikan apakah yang berikut ini dikonfigurasi dengan benar:

    • Tautan sumber daya dibuat untuk tabel bersama

    • Anda memberi pengguna akses ke LF-tag yang dibagikan oleh akun produsen

    • Anda memberi pengguna akses ke LF-tag yang terkait dengan tautan sumber daya dan database tempat tautan sumber daya dibuat

    • Periksa apakah Anda menetapkan LF-tag yang benar ke tautan sumber daya, dan ke database tempat tautan sumber daya dibuat

Langkah 4: Menerapkan metode sumber daya bernama

Untuk menggunakan metode sumber daya bernama, kami memandu Anda melalui langkah-langkah tingkat tinggi berikut:

  1. Secara opsional, cabut izin untuk IAMAllowedPrincipals pada database, tabel, dan kolom.

  2. Berikan izin data ke akun konsumen.

  3. Terima pembagian sumber daya dari AWS Resource Access Manager.

  4. Buat tautan sumber daya untuk tabel bersama.

  5. Berikan izin data untuk tabel bersama kepada konsumen.

  6. Berikan izin data untuk tautan sumber daya ke konsumen.

Mencabut izin untuk IAMAllowedPrincipals database, tabel, dan kolom (Opsional)

  • Di awal tutorial ini, kami mengubah pengaturan Katalog Data Lake Formation. Jika Anda melewatkan bagian itu, langkah ini diperlukan. Untuk petunjuk, lihat langkah opsional di bagian sebelumnya.

Berikan izin data ke akun konsumen
  1. catatan

    Jika Anda masuk ke akun produser sebagai pengguna lain, keluar terlebih dahulu.

    Masuk ke konsol Lake Formation saat https://console.aws.amazon.com/lakeformation/menggunakan administrator danau data akun produser menggunakan Akun AWS ID, nama IAM pengguna (default adalahDatalakeAdminProducer), dan kata sandi yang ditentukan selama pembuatan AWS CloudFormation tumpukan.

  2. Pada halaman Izin, di bawah Izin Danau data pilih Hibah.

  3. Di bawah Prinsipal, pilih Akun eksternal, dan masukkan satu atau lebih Akun AWS IDs atau organisasi. AWS IDs Untuk informasi lebih lanjut, lihat: AWS Organizations.

    Organizations yang menjadi milik akun produsen dan Akun AWS dalam organisasi yang sama muncul secara otomatis. Jika tidak, masukkan ID akun atau ID organisasi secara manual.

  4. Untuk LF-tag atau sumber katalog, pilih. Named data catalog resources

  5. Di bawah Database, pilih databaselakeformation_tutorial_cross_account_database_named_resource.

  6. Pilih Tambahkan LF-Tag.

  7. Di bawah Tabel, pilih Semua tabel.

  8. Untuk izin kolom Tabel ΒΈ pilih Pilih, dan Jelaskan di bawah Izin tabel.

  9. Pilih Pilih dan Jelaskan, di bawah Izin yang Dapat Diberikan.

  10. Secara opsional, untuk izin Data, pilih Akses berbasis kolom sederhana jika manajemen izin tingkat kolom diperlukan.

  11. PilihIzin.

Jika Anda belum mencabut izinIAMAllowedPrincipals, Anda mendapatkan kesalahan gagal izin Hibah. Pada titik ini, Anda akan melihat tabel target yang AWS RAM dibagikan melalui akun konsumen di bawah Izin, Izin data.

Terima pembagian sumber daya dari AWS RAM
catatan

Langkah ini diperlukan hanya untuk berbagi Akun AWS berbasis, bukan untuk berbagi berbasis organisasi.

  1. Masuk ke AWS konsol saat https://console.aws.amazon.com/connect/menggunakan administrator danau data akun konsumen menggunakan nama IAM pengguna (default adalah DatalakeAdminConsumer) dan kata sandi yang ditentukan selama pembuatan AWS CloudFormation tumpukan.

  2. Di AWS RAM konsol, di panel navigasi, di bawah Berbagi dengan saya, Sumber daya berbagi, pilih sumber daya Lake Formation bersama. Status harus Tertunda.

  3. Pilih Action dan Grant.

  4. Konfirmasikan detail sumber daya, dan pilih Terima berbagi sumber daya.

    Pada titik ini, administrator danau data akun konsumen harus dapat menemukan sumber daya bersama di konsol Lake Formation (https://console.aws.amazon.com/lakeformation/) di bawah Katalog Data, Database.

Buat tautan sumber daya untuk tabel bersama
Berikan izin data untuk tabel bersama kepada konsumen

Untuk memberikan izin data untuk tabel bersama kepada konsumen, selesaikan langkah-langkah berikut:

  1. Di Lake Formationconsole (https://console.aws.amazon.com/lakeformation/), di bawah Izin, izin danau data, pilih Hibah.

  2. Untuk Prinsipal, pilih IAMpengguna dan peran, dan pilih pengguna. DataAnalyst

  3. Untuk LF-tag atau sumber katalog, pilih Sumber daya katalog data bernama.

  4. Di bawah Database, pilih databaselakeformation_tutorial_cross_account_database_named_resource. Jika Anda tidak melihat database pada daftar drop-down, pilih Muat lebih banyak.

  5. Di bawah Tabel, pilih tabelamazon_reviews_table_named_resource.

  6. Untuk izin Tabel dan kolom, pilih Pilih dan Jelaskan di bawah Izin tabel.

  7. PilihIzin.

Berikan izin data untuk tautan sumber daya ke konsumen

Selain memberikan izin pengguna data lake untuk mengakses tabel bersama, Anda juga perlu memberikan izin pengguna data lake untuk mengakses tautan sumber daya.

  1. Di konsol Lake Formation (https://console.aws.amazon.com/lakeformation/), di bawah Izin, izin danau data, pilih Hibah.

  2. Untuk Prinsipal, pilih IAMpengguna dan peran, dan pilih pengguna. DataAnalyst

  3. Untuk LF-tag atau sumber katalog, pilih Sumber daya katalog data bernama.

  4. Di bawah Database, pilih databaselakeformation_tutorial_cross_account_database_consumer. Jika Anda tidak melihat database pada daftar drop-down, pilih Muat lebih banyak.

  5. Di bawah Tabel, pilih tabelamazon_reviews_table_named_resource_resource_link.

  6. Untuk izin tautan Sumber daya, pilih Jelaskan di bawah Izin tautan sumber daya.

  7. PilihIzin.

    Pada titik ini, pengguna analis data di akun konsumen harus dapat menemukan database dan tautan sumber daya, dan menanyakan tabel bersama melalui konsol Athena.

    Jika tidak, konfirmasikan apakah yang berikut ini dikonfigurasi dengan benar:

    • Tautan sumber daya dibuat untuk tabel bersama

    • Anda memberi pengguna akses ke tabel yang dibagikan oleh akun produsen

    • Anda memberi pengguna akses ke tautan sumber daya dan database tempat tautan sumber daya dibuat

Langkah 5: Bersihkan AWS sumber daya

Untuk mencegah biaya yang tidak diinginkan ke Anda Akun AWS, Anda dapat menghapus AWS sumber daya yang Anda gunakan untuk tutorial ini.

  1. Masuk ke konsol Lake Formation saat https://console.aws.amazon.com/lakeformation/menggunakan akun produser dan hapus atau ubah yang berikut ini:

    • AWS Resource Access Manager berbagi sumber daya

    • Tag Lake Formation

    • AWS CloudFormation tumpukan

    • Pengaturan Lake Formation

    • AWS Glue Data Catalog

  2. Masuk ke konsol Lake Formation saat https://console.aws.amazon.com/lakeformation/menggunakan akun konsumen dan hapus atau ubah yang berikut ini:

    • Tag Lake Formation

    • AWS CloudFormation tumpukan