Compartilhando um recurso do Lake Formation usando o modo de acesso híbrido

Conceder acesso entre contas a novos usuários do Catálogo de Dados por meio de políticas IAM baseadas sem interromper as permissões existentes do Lake Formation

1. Configuração da conta de produtor

   1. Faça login no console do Lake Formation usando uma função que lakeformation:PutDataLakeSettings.

   2. Em Configurações do catálogo de dados, escolha Version 4 para as Configurações da versão entre contas.

      Se você estiver usando a versão 1 ou 2, consulte as instruções Como atualizar as configurações da versão de compartilhamento de dados entre contas sobre como atualizar para a versão 3.

      Não são necessárias alterações na política de permissão para atualizar da versão 3 para a 4.

   3. Liste as permissões que você concedeu às entidades principais em bancos de dados e tabelas. Para obter mais informações, consulte Visualizar permissões de banco de dados e tabelas no Lake Formation.

   4. Conceda novamente as permissões existentes entre contas do Lake Formation optando por entidades principais e recursos.

      nota

      Antes de atualizar um registro de localização de dados para o modo de acesso híbrido para conceder permissões entre contas, você precisa conceder novamente pelo menos um compartilhamento de dados entre contas por conta. Essa etapa é necessária para atualizar as permissões AWS RAM gerenciadas anexadas ao compartilhamento AWS RAM de recursos.

      Em julho de 2023, o Lake Formation atualizou as permissões AWS RAM gerenciadas usadas para compartilhar bancos de dados e tabelas:

      • arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueAllTablesReadWriteForDatabase (política de compartilhamento em nível de banco de dados)

      • arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueTableReadWrite (política de compartilhamento em nível de tabela)

      As concessões de permissão entre contas feitas antes de julho de 2023 não têm essas AWS RAM permissões atualizadas.

      Se você concedeu permissões entre contas diretamente às entidades principais, precisará devolvê-las individualmente às entidades principais. Se você pular essa etapa, as entidades principais que acessam o recurso compartilhado podem receber um erro de combinação ilegal.

   5. Vá para https://console.aws.amazon.com/ram.

   6. A guia Compartilhado por mim no AWS RAM console exibe os nomes do banco de dados e da tabela que você compartilhou com uma conta externa ou principal.

      Verifique se as permissões anexadas ao recurso compartilhado estão corretasARN.

   7. Verifique se os recursos no AWS RAM compartilhamento estão no Associated status. Se o status for exibido como Associating, espere até que eles entrem no status Associated. Se o status for Failed, pare e entre em contato com a equipe de serviço do Lake Formation.

   8. Escolha o Modo de acesso híbrido em Permissões na barra de navegação esquerda e escolha Adicionar.

   9. A página Adicionar entidades principais e recursos mostra os bancos de dados e/ou tabelas e as entidades principais que têm acesso. Você pode fazer as atualizações necessárias adicionando ou removendo entidades principais e recursos.

   10. Escolha as entidades principais com permissões do Lake Formation para o banco de dados e as tabelas que você deseja alterar para o modo de acesso híbrido. Escolha os bancos de dados e tabelas.

   11. Escolha Adicionar para optar pelas entidades principais para aplicar as permissões do Lake Formation no modo de acesso híbrido.

   12. Conceda a permissão Super ao grupo virtual IAMAllowedPrincipals em seu banco de dados e nas tabelas selecionadas.

   13. Edite o registro Lake Formation da localização do Amazon S3 para o modo de acesso híbrido.

   14. Conceda permissões para os AWS Glue usuários na conta externa (consumidor) usando políticas de IAM permissão para ações do Amazon S3 AWS Glue .

2. Configuração de conta de consumidor

   1. Faça login no console do Lake Formation https://console.aws.amazon.com/lakeformation/como administrador do data lake.

   2. Acesse https://console.aws.amazon.com/ram e aceite o convite de compartilhamento de recursos. A guia Recursos compartilhados comigo na AWS RAM página exibe os nomes do banco de dados e das tabelas que são compartilhados com sua conta.

      Para o AWS RAM compartilhamento, certifique-se de que a permissão anexada tenha a correção ARN do AWS RAM convite compartilhado. Verifique se os recursos no AWS RAM compartilhamento estão no Associated status. Se o status for exibido como Associating, espere até que eles entrem no status Associated. Se o status for Failed, pare e entre em contato com a equipe de serviço do Lake Formation.

   3. Crie um link de recurso para o banco de dados e/ou tabela compartilhada no Lake Formation.

   4. Conceda Describe permissão no link do recurso e Grant on target permissão (no recurso compartilhado original) aos IAM diretores em sua conta (de consumidor).

   5. Em seguida, configure as permissões do Lake Formation para as entidades principais da sua conta no banco de dados ou na tabela compartilhada.

      Na barra de navegação esquerda, em Permissões, escolha Modo de acesso híbrido.

   6. Escolha Adicionar na seção inferior da página do Modo de acesso híbrido para optar pelas entidades principais e pelo banco de dados ou tabela compartilhados com você na conta de produtor.

   7. Conceda permissões para os AWS Glue usuários em sua conta usando políticas de IAM permissão para ações do Amazon S3 AWS Glue .

   8. Teste as permissões e AWS Glue permissões do Lake Formation dos usuários executando exemplos de consultas separadas na tabela usando o Athena

      (Opcional) Limpe as políticas de IAM permissão do Amazon S3 para os diretores que estão no modo de acesso híbrido.