Compartilhando um AWS Glue recurso usando o modo de acesso híbrido

Conceder permissões entre contas do Lake Formation no modo de acesso híbrido

1. Configuração da conta de produtor

   1. Faça login no console do Lake Formation usando uma função que tenha lakeformation:PutDataLakeSettings IAM permissão.

   2. Acesse as Configurações do catálogo de dados e escolha Version 4 para as Configurações da versão entre contas.

      Se você estiver usando a versão 1 ou 2, consulte as instruções Como atualizar as configurações da versão de compartilhamento de dados entre contas sobre como atualizar para a versão 3.

      Não são necessárias alterações na política de permissão ao atualizar da versão 3 para a 4.

   3. Registre a localização do Amazon S3 do banco de dados ou tabela que você planeja compartilhar no modo de acesso híbrido.

   4. Verifique se a permissão Super para o grupo IAMAllowedPrincipals existe nos bancos de dados e tabelas nos quais você registrou a localização dos dados no modo de acesso híbrido na etapa acima.

   5. Conceda permissões do Lake Formation para AWS organizações, unidades organizacionais (OUs) ou diretamente com um IAM diretor em outra conta.

   6. Se você estiver concedendo permissões diretamente a um IAM diretor, ative o principal da conta do consumidor para aplicar as permissões do Lake Formation no modo de acesso híbrido, ativando a opção Tornar as permissões do Lake Formation efetivas imediatamente.

      Se você estiver concedendo permissões entre contas para outra AWS conta, ao optar pela conta, as permissões do Lake Formation serão aplicadas somente para os administradores dessa conta. O administrador do data lake da conta do destinatário precisa reduzir as permissões em cascata e optar pelas entidades principais da conta para aplicar as permissões do Lake Formation aos recursos compartilhados que estão no modo de acesso híbrido.

      Se você escolher a opção Recursos correspondidos por tags do LF para conceder permissões entre contas, você precisa primeiro concluir a etapa de concessão de permissões. Você pode optar por incluir entidades principais e recursos no modo de acesso híbrido como uma etapa separada, escolhendo o Modo de acesso híbrido em Permissões na barra de navegação esquerda do console do Lake Formation. Em seguida, escolha Adicionar para adicionar os recursos e as entidades principais aos quais você deseja aplicar as permissões do Lake Formation.

2. Configuração de conta de consumidor

   1. Faça login no console do Lake Formation https://console.aws.amazon.com/lakeformation/como administrador do data lake.

   2. Acesse https://console.aws.amazon.com/ram e aceite o convite de compartilhamento de recursos. A guia Compartilhado comigo no AWS RAM console exibe o banco de dados e as tabelas compartilhadas com sua conta.

   3. Crie um link de recurso para o banco de dados e/ou tabela compartilhada no Lake Formation.

   4. Conceda Describe permissão no link do recurso e Grant on target permissão (no recurso compartilhado original) aos IAM diretores em sua conta (de consumidor).

   5. Conceda permissões do Lake Formation no banco de dados ou na tabela compartilhada com você às entidades principais da sua conta. Opte pelas entidades principais e recursos para aplicar as permissões do Lake Formation no modo de acesso híbrido, ativando a opção Tornar as permissões do Lake Formation efetivas imediatamente.

   6. Teste as permissões da entidade principal do Lake Formation executando exemplos de consultas do Athena. Teste o acesso existente de seus AWS Glue usuários com as IAM principais políticas e AWS Glue ações do Amazon S3.

      (Opcional) Remova a política de bucket do Amazon S3 para acesso aos dados e as políticas IAM principais e o acesso aos dados do Amazon S3 para AWS Glue os principais que você configurou para usar as permissões do Lake Formation.