Aggiornamento delle impostazioni della versione di condivisione dei dati tra account - AWS Lake Formation
Principali differenze tra le impostazioni delle versioni per più accountOttimizza la condivisione delle risorse AWS RAMAbilita AWS RAM le condivisioni tramite TBAC o condividi le risorse direttamente con i principaliPer abilitare la nuova versione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiornamento delle impostazioni della versione di condivisione dei dati tra account

Di tanto in tanto, AWS Lake Formation aggiorna le impostazioni di condivisione dei dati tra account per distinguere le modifiche apportate all' AWS RAM utilizzo e per supportare gli aggiornamenti apportati alla funzionalità di condivisione dei dati tra account. Quando Lake Formation esegue questa operazione, crea una nuova versione delle impostazioni della versione dell'account Cross.

Principali differenze tra le impostazioni delle versioni per più account

Per ulteriori informazioni su come funziona la condivisione dei dati tra account in diverse impostazioni di versione di Cross account, consulta le seguenti sezioni.

Nota

Per condividere i dati con un altro account, il concedente deve disporre delle autorizzazioni relative alle policy AWSLakeFormationCrossAccountManager gestiteIAM. Questo è un prerequisito per tutte le versioni.

L'aggiornamento delle impostazioni della versione dell'account Cross non influisce sulle autorizzazioni del destinatario sulle risorse condivise. Ciò è applicabile quando si esegue l'aggiornamento dalla versione 1 alla versione 2, dalla versione 2 alla versione 3 e dalla versione 1 alla versione 3. Per l'aggiornamento delle versioni, consulta le considerazioni elencate di seguito.

Versione 1

Metodo di risorsa denominato: associa ogni autorizzazione concessa tra account Lake Formation a una condivisione di AWS RAM risorse. L'utente (concedente, ruolo o responsabile) non richiede autorizzazioni aggiuntive.

TBACMetodo LF: le concessioni di autorizzazione di Lake Formation tra account non vengono utilizzate AWS RAM per condividere dati. L'utente deve avere glue:PutResourcePolicy l'autorizzazione.

Vantaggi dell'aggiornamento delle versioni: versione iniziale, non applicabile.

Considerazioni sull'aggiornamento delle versioni: Versione iniziale - non applicabile

Versione 2

Metodo della risorsa denominata: ottimizza il numero di condivisioni di AWS RAM risorse mappando più concessioni di autorizzazioni tra account con un'unica condivisione di risorse. AWS RAM L'utente non richiede autorizzazioni aggiuntive.

TBACMetodo LF: le concessioni di autorizzazione di Lake Formation tra account non vengono utilizzate AWS RAM per condividere dati. L'utente deve avere glue:PutResourcePolicy l'autorizzazione.

Vantaggi dell'aggiornamento delle versioni: configurazione scalabile tra più account grazie all'utilizzo ottimale della capacità. AWS RAM

Considerazioni sull'aggiornamento delle versioni: gli utenti che desiderano concedere le autorizzazioni Lake Formation su più account devono disporre delle autorizzazioni nella politica gestita. AWSLakeFormationCrossAccountManager AWS In caso contrario, è necessario disporre ram:AssociateResourceShare delle ram:DisassociateResourceShare autorizzazioni necessarie per condividere correttamente le risorse con un altro account.

Versione 3

Metodo della risorsa denominata: ottimizza il numero di condivisioni di AWS RAM risorse mappando più concessioni di autorizzazioni tra account con un'unica condivisione di risorse. AWS RAM L'utente non richiede autorizzazioni aggiuntive.

TBACMetodo LF: Lake Formation utilizza AWS RAM per le sovvenzioni tra account. L'utente deve aggiungere la ShareResource dichiarazione glue: all'glue:PutResourcePolicyautorizzazione. Il destinatario deve accettare gli inviti alla condivisione delle risorse da AWS RAM.

Vantaggi dell'aggiornamento delle versioni: supporta le seguenti funzionalità:

  • Consente di condividere le risorse in modo esplicito con un IAM principale in un account esterno.

    Per ulteriori informazioni, consulta Concessione delle autorizzazioni per le risorse del Data Catalog.

  • Abilita le condivisioni tra account utilizzando il TBAC metodo LF- per Organizzazioni o unità organizzative (OUs).

  • Rimuove il sovraccarico derivante dal mantenimento di AWS Glue politiche aggiuntive per le sovvenzioni tra account.

Considerazioni sull'aggiornamento delle versioni: quando si utilizza il TBAC metodo LF- per condividere risorse, se il concedente utilizza una versione precedente alla versione 3 e il destinatario utilizza la versione 3 o successiva, il concedente riceve il seguente messaggio di errore: «Richiesta di concessione tra account non valida. Per l'account consumer è disponibile la versione cross-account: v3. Effettua l'aggiornamento CrossAccountVersion DataLakeSetting alla versione minima v3 (Servizio: AmazonDataCatalog; Codice di stato: 400; Codice di errore: InvalidInputException)». Tuttavia, se il concedente utilizza la versione 3 e il destinatario utilizza la versione 1 o la versione 2, le sovvenzioni tra account diversi che utilizzano i tag LF vanno a buon fine.

Le sovvenzioni tra account effettuate utilizzando il metodo della risorsa denominata sono compatibili tra diverse versioni. Anche se l'account concedente utilizza una versione precedente (versione 1 o 2) e l'account del destinatario utilizza una versione più recente (versione 3 o successiva), la funzionalità di accesso tra account funziona senza problemi di compatibilità o errori.

Per condividere le risorse direttamente con IAM i mandanti di un altro account, solo il concedente deve utilizzare la versione 3.

Le sovvenzioni tra account effettuate utilizzando il TBAC metodo LF- richiedono agli utenti di disporre di una politica AWS Glue Data Catalog delle risorse nell'account. Quando si esegue l'aggiornamento alla versione 3, LF- TBAC grants utilizza. AWS RAM Per consentire l'esito positivo delle sovvenzioni AWS RAM basate su più account, è necessario aggiungere la glue:ShareResource dichiarazione alle politiche esistenti in materia di risorse del Data Catalog, come illustrato nella sezione. Gestione delle autorizzazioni tra account utilizzando entrambi AWS Glue e Lake Formation

Versione 4

Il concedente necessita della versione 4 o successiva per condividere le risorse di Data Catalog in modalità di accesso ibrido.

Ottimizza la condivisione delle risorse AWS RAM

Le nuove versioni (versione 2 e successive) delle sovvenzioni tra account utilizzano in modo ottimale la AWS RAM capacità per massimizzare l'utilizzo tra account. Quando condividi una risorsa con una persona esterna Account AWS o IAM principale, Lake Formation può creare una nuova condivisione di risorse o associare la risorsa a una condivisione esistente. Associandosi alle azioni esistenti, Lake Formation riduce il numero di inviti alla condivisione delle risorse che un consumatore deve accettare.

Abilita AWS RAM le condivisioni tramite TBAC o condividi le risorse direttamente con i principali

Per condividere le risorse direttamente con IAM i responsabili di un altro account o per abilitare le condivisioni TBAC tra account con Organizations o unità organizzative, devi aggiornare le impostazioni della versione Cross account alla versione 3. Per ulteriori informazioni sui limiti AWS RAM delle risorse, vedere. Buone pratiche e considerazioni sulla condivisione dei dati tra account

Autorizzazioni necessarie per l'aggiornamento delle impostazioni delle versioni tra account

Se un concedente di autorizzazioni per più account dispone di autorizzazioni AWSLakeFormationCrossAccountManager gestite tramite IAM policy, non è richiesta alcuna impostazione di autorizzazione aggiuntiva per il ruolo o principale del concedente delle autorizzazioni per più account. Tuttavia, se il concedente che concede più account non utilizza la politica gestita, affinché la nuova versione della concessione su più account abbia successo, al ruolo o al responsabile del concedente devono essere concesse le seguenti IAM autorizzazioni.

  
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
         "ram:AssociateResourceShare",
         "ram:DisassociateResourceShare",
         "ram:GetResourceShares"
       ],
     "Resource": "*",
     "Condition": {
       "StringLike": {
         "ram:ResourceShareName": "LakeFormation*"
        }
      }
    }
  ]
}

Per abilitare la nuova versione

Segui questi passaggi per aggiornare le impostazioni della versione dell'account Cross tramite AWS Lake Formation console o AWS CLI.

Console

  1. Scegli la versione 2, la versione 3 o la versione 4 nelle impostazioni della versione di Cross account nella pagina delle impostazioni del catalogo dati. Se selezioni la versione 1, Lake Formation utilizzerà la modalità di condivisione delle risorse predefinita.

    Data catalog settings page with options for permissions, AWS CloudTrail, and cross account versions.

  2. Seleziona Salva.

AWS Command Line Interface (AWS CLI)

Utilizzate il put-data-lake-settings AWS CLI comando per impostare il CROSS_ACCOUNT_VERSION parametro. I valori accettati sono 1, 2, 3 e 4.

aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
    "DataLakeAdmins": [
        {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/test"
        }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "Parameters": {
        "CROSS_ACCOUNT_VERSION": "3"
    }
}
Importante

Dopo aver scelto la versione 2 o la versione 3, tutte le nuove sovvenzioni per risorse denominate passeranno attraverso la nuova modalità di concessione tra account. Per utilizzare in modo ottimale la AWS RAM capacità delle condivisioni esistenti su più account, ti consigliamo di revocare le sovvenzioni concesse con la versione precedente e di riassegnarle nella nuova modalità.