Pré-requisitos

Para compartilhar bancos de dados e tabelas do catálogo de dados no modo de acesso híbrido, você precisa atualizar as Configurações de versão entre contas para a Versão 4.

Antes de conceder permissões entre contas em um recurso do catálogo de dados, você deve revogar todas as permissões do Lake Formation do grupo IAMAllowedPrincipals para o recurso. Se a entidade principal solicitante tiver permissões entre contas para acessar um recurso, e a permissão IAMAllowedPrincipals existir no recurso, Lake Formation exibirá AccessDeniedException.

Esse requisito é válido somente quando você registra a localização dos dados subjacentes no modo Lake Formation. Se você registrar a localização dos dados no modo híbrido, as permissões do grupo IAMAllowedPrincipals poderão existir no banco de dados ou na tabela compartilhada.

Nos bancos de dados que contêm tabelas que você cogita compartilhar, é necessário evitar que novas tabelas tenham uma concessão padrão de Super para IAMAllowedPrincipals. No console do Lake Formation, edite o banco de dados e desative Usar somente controle de IAM acesso para novas tabelas nesse banco de dados ou digite o AWS CLI comando a seguir, database substituindo pelo nome do banco de dados. Se a localização dos dados subjacentes estiver registrada no modo de acesso híbrido, você não precisará alterar essa configuração padrão. No modo de acesso híbrido, o Lake Formation permite que você aplique seletivamente as permissões e IAM políticas de permissões do Lake Formation para o Amazon S3 AWS Glue e no mesmo recurso.

aws glue update-database --name database --database-input '{"Name":"database","CreateTableDefaultPermissions":[]}'
         

Para conceder permissões entre contas, o concedente deve ter as permissões necessárias AWS Identity and Access Management () IAM em AWS Glue e AWS RAM serviço. A política AWS gerenciada AWSLakeFormationCrossAccountManager concede as permissões necessárias.

Os administradores de data lake em contas que recebem compartilhamentos de recursos usando AWS RAM devem ter a seguinte política adicional. Ele permite que o administrador aceite convites AWS RAM de compartilhamento de recursos. Permitir também que o administrador habilite o compartilhamento de recursos com organizações.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:RejectResourceShareInvitation",
                "ec2:DescribeAvailabilityZones",
                "ram:EnableSharingWithAwsOrganization"
            ],
            "Resource": "*"
        }
    ]
}

Se você quiser compartilhar recursos do Catálogo de Dados com AWS Organizations ou com unidades organizacionais, o compartilhamento com organizações deve estar ativado em AWS RAM.

Para obter informações sobre como habilitar o compartilhamento com organizações, consulte Habilitar o compartilhamento com AWS organizações no Guia AWS RAM do usuário.

Você deve ter a permissão ram:EnableSharingWithAwsOrganization para habilitar o compartilhamento com organizações.

Para compartilhar recursos diretamente com um IAM principal em outra conta, você precisa atualizar as configurações da versão da conta cruzada para a versão 3. Essa configuração está disponível na página de Configurações do catálogo de dados. Se você estiver usando a Versão 1, consulte as instruções para atualizar a configuraçãoComo atualizar as configurações da versão de compartilhamento de dados entre contas.

Você não pode compartilhar recursos do Catálogo de Dados criptografados com a chave gerenciada do AWS Glue serviço com outra conta. Você pode compartilhar somente recursos do catálogo de dados criptografados com a chave de criptografia do cliente, e a conta que recebe o compartilhamento de recursos deve ter permissões na chave de criptografia do catálogo de dados para descriptografar os objetos.

Para compartilhar recursos do Catálogo de Dados com AWS Organizations unidades organizacionais (OUs), você precisa atualizar as configurações da versão Cross Account para a Versão 3.

Para compartilhar recursos do Catálogo de Dados com a versão 3 das configurações da versão da conta cruzada, o concedente precisa ter as IAM permissões definidas na política AWS gerenciada AWSLakeFormationCrossAccountManager em sua conta.

Se você estiver usando a versão 1 ou a versão 2 das configurações de versão da conta cruzada, deverá ter uma política de recursos do Catálogo de Dados (glue:PutResourcePolicy) que habilite LF-TBAC. Para obter mais informações, consulte Gerenciando permissões entre contas usando ambos AWS Glue e Lake Formation.

Se você estiver usando atualmente um AWS Glue Política de recursos do Catálogo de Dados Para compartilhar recursos, e você quiser conceder permissões entre contas usando a versão 3 das configurações da versão entre contas, você deve adicionar a glue:ShareResource permissão nas Configurações do Catálogo de Dados usando a glue:PutResourcePolicy API operação conforme mostrado na Gerenciando permissões entre contas usando ambos AWS Glue e Lake Formation seção. Essa política não é necessária se sua conta não tiver feito doações entre contas usando o AWS Glue Política de recursos do Catálogo de Dados (glue:PutResourcePolicypermissão de uso das versões 1 e 2) para conceder acesso entre contas.

{
      "Effect": "Allow",
      "Action": [
        "glue:ShareResource"
      ],
      "Principal": {"Service": [
        "ram.amazonaws.com"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:<account-id>:table/*/*",
        "arn:aws:glue:<region>:<account-id>:database/*",
        "arn:aws:glue:<region>:<account-id>:catalog"
      ]
    }          
        

Se sua conta fez compartilhamentos entre contas usando AWS Glue Política de recursos do Catálogo de Dados, e você está usando o método de recurso nomeado ou LF- TBAC com configurações de conta cruzada versão 3 para compartilhar recursos, que usa AWS RAM para compartilhar recursos, você deve definir o EnableHybrid argumento como 'true' ao invocar a glue:PutResourcePolicy API operação. Para obter mais informações, consulte Gerenciando permissões entre contas usando ambos AWS Glue e Lake Formation.

Se você estiver compartilhando recursos com Contas da AWS, pelo menos um usuário na conta do consumidor deve ser administrador do data lake para visualizar os recursos compartilhados. Para obter informações sobre como criar um administrador de data lake, consulte Crie um administrador de data lake.

O administrador do data lake pode conceder permissões do Lake Formation sobre os recursos compartilhados com outras entidades principais da conta. Outras entidades principais não podem acessar recursos compartilhados até que o administrador do data lake conceda permissões sobre os recursos.

Serviços integrados, como o Athena e o Redshift Spectrum, exigem links de recursos para poder incluir recursos compartilhados nas consultas. Entidades principais precisam criar um link de recurso em seu catálogo de dados para um recurso compartilhado de outra Conta da AWS. Para obter mais informações sobre os links de recursos, consulte Como os links de recursos funcionam no Lake Formation.

Quando um recurso é compartilhado diretamente com um IAM principal, para consultar a tabela usando o Athena, o diretor precisa criar um link de recurso. Para criar um link de recurso, o diretor precisa da CREATE_DATABASE permissão CREATE_TABLE ou da Lake Formation e da glue:CreateDatabase IAM permissão glue:CreateTable or.

Se a conta do produtor compartilhar uma tabela diferente no mesmo banco de dados com o mesmo ou outra entidade principal, esse principal poderá consultar imediatamente a tabela.