Condivisione di una risorsa Lake Formation utilizzando la modalità di accesso ibrida

Garantire l'accesso su più account ai nuovi utenti del Data Catalog tramite policy IAM basate senza interrompere le autorizzazioni esistenti di Lake Formation

1. Configurazione dell'account Producer

   1. Accedi alla console Lake Formation utilizzando un ruolo chelakeformation:PutDataLakeSettings.

   2. In Impostazioni Data Catalog, scegli Version 4 le impostazioni della versione dell'account Cross.

      Se attualmente utilizzi la versione 1 o 2, consulta Aggiornamento delle impostazioni della versione di condivisione dei dati tra account le istruzioni per l'aggiornamento alla versione 3.

      Non sono necessarie modifiche alla politica di autorizzazione per l'aggiornamento dalla versione 3 alla 4.

   3. Elenca le autorizzazioni che hai concesso ai principali su database e tabelle. Per ulteriori informazioni, consulta Visualizzazione delle autorizzazioni per database e tabelle in Lake Formation.

   4. Rigenera le autorizzazioni esistenti per più account di Lake Formation optando per i principali e le risorse.

      Nota

      Prima di aggiornare la registrazione di una posizione dati alla modalità di accesso ibrida per concedere le autorizzazioni tra più account, devi concedere nuovamente almeno una condivisione di dati tra account per account. Questo passaggio è necessario per aggiornare le autorizzazioni AWS RAM gestite allegate alla condivisione di risorse. AWS RAM

      Nel luglio 2023, Lake Formation ha aggiornato le autorizzazioni AWS RAM gestite utilizzate per la condivisione di database e tabelle:

      • arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueAllTablesReadWriteForDatabase(politica di condivisione a livello di database)

      • arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueTableReadWrite(politica di condivisione a livello di tabella)

      Le autorizzazioni per più account concesse prima di luglio 2023 non dispongono di queste autorizzazioni aggiornate. AWS RAM

      Se hai concesso autorizzazioni per più account direttamente ai responsabili, devi concedere nuovamente tali autorizzazioni individualmente ai responsabili. Se salti questo passaggio, i principali che accedono alla risorsa condivisa potrebbero ricevere un errore di combinazione illegale.

   5. Vai a /ram. https://console.aws.amazon.com

   6. La scheda Condivisi da me nella AWS RAM console mostra i nomi di database e tabelle che hai condiviso con un account o un principale esterno.

      Assicurati che le autorizzazioni allegate alla risorsa condivisa siano corretteARN.

   7. Verifica che lo Associated stato delle risorse nella AWS RAM condivisione sia attivo. Se lo stato è ugualeAssociating, attendi che entrino Associated nello stato. Se lo stato diventaFailed, fermati e contatta il team di assistenza di Lake Formation.

   8. Scegli la modalità di accesso ibrido in Autorizzazioni dalla barra di navigazione a sinistra e scegli Aggiungi.

   9. La pagina Aggiungi principi e risorse mostra i database e/o le tabelle e i principali che hanno accesso. È possibile apportare gli aggiornamenti richiesti aggiungendo o rimuovendo i principali e le risorse.

   10. Scegli i principali con autorizzazioni Lake Formation per il database e le tabelle che desideri modificare in modalità di accesso ibrida. Scegli i database e le tabelle.

   11. Scegli Aggiungi per attivare i principali per applicare le autorizzazioni di Lake Formation in modalità di accesso ibrida.

   12. Concedi Super l'autorizzazione al gruppo virtuale IAMAllowedPrincipals sul tuo database e sulle tabelle selezionate.

   13. Modifica la registrazione della sede Amazon S3 Lake Formation in modalità di accesso ibrida.

   14. Concedi le autorizzazioni agli AWS Glue utenti dell'account esterno (consumatore) utilizzando le politiche di IAM autorizzazione per le azioni di Amazon AWS Glue S3.

2. Configurazione dell'account consumer

   1. Accedi alla console di Lake Formation https://console.aws.amazon.com/lakeformation/come amministratore del data lake.

   2. Vai su https://console.aws.amazon.com/ram e accetta l'invito alla condivisione delle risorse. La scheda Risorse condivise con me della AWS RAM pagina mostra i nomi di database e tabelle condivisi con il tuo account.

      Per la AWS RAM condivisione, assicurati che l'autorizzazione allegata corrisponda alla ARN versione corretta dell' AWS RAM invito condiviso. Controlla se lo Associated stato delle risorse della AWS RAM condivisione è aggiornato. Se lo stato è ugualeAssociating, attendi che diventino Associated tali. Se lo stato diventaFailed, fermati e contatta il team di assistenza di Lake Formation.

   3. Crea un collegamento alla risorsa al database e/o alla tabella condivisi in Lake Formation.

   4. Concedi Describe l'autorizzazione al collegamento alla risorsa e l'Grant on targetautorizzazione (sulla risorsa condivisa originale) ai IAM responsabili del tuo account (consumatore).

   5. Successivamente, configura le autorizzazioni di Lake Formation per i principali del tuo account nel database o nella tabella condivisa.

      Nella barra di navigazione a sinistra, in Autorizzazioni, scegli la modalità di accesso ibrido.

   6. Scegli Aggiungi nella sezione inferiore della pagina della modalità di accesso ibrido per attivare i principali e il database o la tabella condivisi con te dall'account produttore.

   7. Concedi le autorizzazioni agli AWS Glue utenti del tuo account utilizzando le politiche di IAM autorizzazione per le azioni di Amazon AWS Glue S3.

   8. Verifica le autorizzazioni e AWS Glue le autorizzazioni di Lake Formation degli utenti eseguendo query di esempio separate sulla tabella utilizzando Athena

      (Facoltativo) Pulisci le politiche di IAM autorizzazione per Amazon S3 per i principali che si trovano in modalità di accesso ibrido.