Compartilhando um AWS Glue recurso usando o modo de acesso híbrido

Conceder permissões entre contas do Lake Formation no modo de acesso híbrido

1. Configuração da conta de produtor

   1. Faça login no console do Lake Formation usando uma função que tenha permissão do IAM lakeformation:PutDataLakeSettings.

   2. Acesse as Configurações do catálogo de dados e escolha Version 4 para as Configurações da versão entre contas.

      Se você estiver usando a versão 1 ou 2, consulte as instruções Como atualizar as configurações da versão de compartilhamento de dados entre contas sobre como atualizar para a versão 3.

      Não são necessárias alterações na política de permissão ao atualizar da versão 3 para a 4.

   3. Registre a localização do Amazon S3 do banco de dados ou tabela que você planeja compartilhar no modo de acesso híbrido.

   4. Verifique se a permissão Super para o grupo IAMAllowedPrincipals existe nos bancos de dados e tabelas nos quais você registrou a localização dos dados no modo de acesso híbrido na etapa acima.

   5. Conceda permissões do Lake Formation para AWS organizações, unidades organizacionais (OUs) ou diretamente com um diretor do IAM em outra conta.

   6. Se você estiver concedendo permissões diretamente a uma entidade principal do IAM, opte pela entidade principal da conta de consumidor para aplicar as permissões do Lake Formation no modo de acesso híbrido, ativando a opção Tornar as permissões do Lake Formation efetivas imediatamente.

      Se você estiver concedendo permissões entre contas para outra AWS conta, ao optar pela conta, as permissões do Lake Formation serão aplicadas somente para os administradores dessa conta. O administrador do data lake da conta do destinatário precisa reduzir as permissões em cascata e optar pelas entidades principais da conta para aplicar as permissões do Lake Formation aos recursos compartilhados que estão no modo de acesso híbrido.

      Se você escolher a opção Recursos correspondidos por tags do LF para conceder permissões entre contas, você precisa primeiro concluir a etapa de concessão de permissões. Você pode optar por incluir entidades principais e recursos no modo de acesso híbrido como uma etapa separada, escolhendo o Modo de acesso híbrido em Permissões na barra de navegação esquerda do console do Lake Formation. Em seguida, escolha Adicionar para adicionar os recursos e as entidades principais aos quais você deseja aplicar as permissões do Lake Formation.

2. Configuração de conta de consumidor

   1. Faça login no console do Lake Formation https://console.aws.amazon.com/lakeformation/como administrador do data lake.

   2. Acesse https://console.aws.amazon.com/ram e aceite o convite de compartilhamento de recursos. A guia Compartilhado comigo no AWS RAM console exibe o banco de dados e as tabelas compartilhadas com sua conta.

   3. Crie um link de recurso para o banco de dados e/ou tabela compartilhada no Lake Formation.

   4. Conceda a permissão Describe no link do recurso e a permissão Grant on target (no recurso compartilhado original) às entidades principais do IAM em sua conta (de consumidor).

   5. Conceda permissões do Lake Formation no banco de dados ou na tabela compartilhada com você às entidades principais da sua conta. Opte pelas entidades principais e recursos para aplicar as permissões do Lake Formation no modo de acesso híbrido, ativando a opção Tornar as permissões do Lake Formation efetivas imediatamente.

   6. Teste as permissões da entidade principal do Lake Formation executando exemplos de consultas do Athena. Teste o acesso existente de seus AWS Glue usuários com as principais políticas do IAM para Amazon S3 e AWS Glue ações.

      (Opcional) Remova a política de bucket do Amazon S3 para acesso a dados e políticas de entidades principais do IAM para AWS Glue e acesso a dados do Amazon S3 para as entidades principais que você configurou para usar permissões do Lake Formation.