Como atualizar as configurações da versão de compartilhamento de dados entre contas - AWS Lake Formation
Principais diferenças entre as versões de Configurações Entre ContasOtimize os compartilhamentos AWS RAM de recursosHabilite AWS RAM compartilhamentos por meio de TBAC ou compartilhe recursos diretamente com os diretoresComo habilitar a nova versão

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como atualizar as configurações da versão de compartilhamento de dados entre contas

De tempos em tempos, AWS Lake Formation atualiza as configurações de compartilhamento de dados entre contas para distinguir as alterações feitas no AWS RAM uso e para oferecer suporte às atualizações feitas no recurso de compartilhamento de dados entre contas. Quando o Lake Formation faz isso, ele cria uma nova versão das Configurações de versão entre contas.

Principais diferenças entre as versões de Configurações Entre Contas

Para obter mais informações sobre como o compartilhamento de dados entre contas funciona em diferentes versões de Configurações de versão entre contas, consulte as seções a seguir.

nota

Para compartilhar dados com outra conta, o concedente deve ter permissões de IAM política AWSLakeFormationCrossAccountManager gerenciadas. Isso é um pré-requisito para todas as versões.

A atualização da versão das Configurações de versão entre contas não afeta as permissões que o destinatário tem nos recursos compartilhados. Isso é aplicável ao atualizar da versão 1 para a versão 2, da versão 2 para a versão 3 e da versão 1 para a versão 3. Veja as considerações listadas abaixo ao atualizar as versões.

Versão 1

Método de recurso nomeado: mapeia cada concessão de permissão entre contas do Lake Formation para um compartilhamento AWS RAM de recursos. O usuário (no perfil de concedente ou entidade principal) não precisa de permissões adicionais.

TBACMétodo LF-: as concessões de permissão entre contas do Lake Formation não são usadas AWS RAM para compartilhar dados. O usuário deve ter a permissão glue:PutResourcePolicy.

Benefícios da atualização de versões: Versão inicial — não aplicável.

Considerações ao atualizar versões: Versão inicial — não aplicável.

Versão 2

Método de recurso nomeado: otimiza o número de compartilhamentos de AWS RAM recursos mapeando várias concessões de permissão entre contas com um compartilhamento de AWS RAM recursos. Usuários não precisam de permissões adicionais.

TBACMétodo LF-: as concessões de permissão entre contas do Lake Formation não são usadas AWS RAM para compartilhar dados. O usuário deve ter a permissão glue:PutResourcePolicy.

Benefícios da atualização de versões: configuração escalável entre contas por meio da utilização ideal da capacidade. AWS RAM

Considerações ao atualizar versões: os usuários que desejam conceder permissões entre contas do Lake Formation devem ter as permissões na política AWSLakeFormationCrossAccountManager AWS gerenciada. Caso contrário, você precisará ter permissões ram:AssociateResourceShare e ram:DisassociateResourceShare para compartilhar recursos com sucesso com outra conta.

Versão 3

Método de recurso nomeado: otimiza o número de compartilhamentos de AWS RAM recursos mapeando várias concessões de permissão entre contas com um compartilhamento de AWS RAM recursos. Usuários não precisam de permissões adicionais.

TBACMétodo LF: o Lake Formation usa AWS RAM para doações entre contas. O usuário deve adicionar cola: ShareResource declaração à glue:PutResourcePolicy permissão. O destinatário deve aceitar convites de compartilhamento de recursos de. AWS RAM

Benefícios da atualização de versões: Suporta os seguintes recursos:

  • Permite compartilhar recursos explicitamente com um IAM diretor em uma conta externa.

    Para obter mais informações, consulte Concedendo permissões nos recursos do Catálogo de Dados.

  • Permite compartilhamentos entre contas usando o TBAC método LF- para Organizações ou unidades organizacionais (OUs).

  • Elimina a sobrecarga de manter AWS Glue políticas adicionais para subsídios entre contas.

Considerações ao atualizar versões: Quando você usa o TBAC método LF- para compartilhar recursos, se o concedente usar uma versão inferior à versão 3 e o destinatário estiver usando a versão 3 ou superior, o concedente receberá a seguinte mensagem de erro: “Solicitação de concessão de contas cruzadas inválida. A conta do consumidor optou pela versão entre contas: v3. CrossAccountVersionAtualize DataLakeSetting para a versão mínima v3 (Serviço: AmazonDataCatalog; Código de status: 400; Código de erro: InvalidInputException)”. No entanto, se o concedente usar a versão 3 e o destinatário estiver usando a versão 1 ou a versão 2, as concessões entre contas usando tags LF serão aprovadas com êxito.

As concessões entre contas feitas usando o método de recurso nomeado são compatíveis em diferentes versões. Mesmo que a conta do concedente esteja usando uma versão mais antiga (versão 1 ou 2) e a conta do destinatário esteja usando uma versão mais recente (versão 3 ou superior), a funcionalidade de acesso entre contas funciona perfeitamente sem problemas ou erros de compatibilidade.

Para compartilhar recursos diretamente com IAM os diretores em outra conta, somente o concedente precisa usar a versão 3.

As concessões entre contas feitas usando o TBAC método LF- exigem que os usuários tenham uma política de AWS Glue Data Catalog recursos na conta. Quando você atualiza para a versão 3, o LF- TBAC concede usos AWS RAM. Para permitir que as concessões AWS RAM baseadas em várias contas sejam bem-sucedidas, você deve adicionar a glue:ShareResource declaração às suas políticas de recursos existentes do Catálogo de Dados, conforme mostrado na Gerenciando permissões entre contas usando ambos AWS Glue e Lake Formation seção.

Versão 4

O concedente precisa da versão 4 ou superior para compartilhar os recursos do catálogo de dados no modo de acesso híbrido.

Otimize os compartilhamentos AWS RAM de recursos

As novas versões (versão 2 e superior) de concessões entre contas utilizam de forma otimizada a AWS RAM capacidade para maximizar o uso de várias contas. Quando você compartilha um recurso com um externo Conta da AWS ou IAM principal, o Lake Formation pode criar um novo compartilhamento de recursos ou associar o recurso a um compartilhamento existente. Ao se associar aos compartilhamentos existentes, o Lake Formation reduz o número de convites de compartilhamento de recursos que um consumidor precisa aceitar.

Habilite AWS RAM compartilhamentos por meio de TBAC ou compartilhe recursos diretamente com os diretores

Para compartilhar recursos diretamente com IAM diretores em outra conta ou para permitir compartilhamentos TBAC entre contas com Organizations ou unidades organizacionais, você precisa atualizar as configurações da versão Cross Account para a versão 3. Para obter mais informações sobre limites AWS RAM de recursos, consultePráticas recomendadas e considerações sobre compartilhamento de dados entre contas.

Permissões necessárias para atualizar a versão de Configurações Entre Contas

Se um concedente de permissão entre contas tiver AWSLakeFormationCrossAccountManager gerenciado permissões de IAM política, não há necessidade de configuração de permissão extra para a função ou diretor do concedente de permissões entre contas. No entanto, se o concedente de várias contas não estiver usando a política gerenciada, a função ou diretor do concedente deverá ter IAM as seguintes permissões concedidas para que a nova versão da concessão entre contas seja bem-sucedida.

  
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
         "ram:AssociateResourceShare",
         "ram:DisassociateResourceShare",
         "ram:GetResourceShares"
       ],
     "Resource": "*",
     "Condition": {
       "StringLike": {
         "ram:ResourceShareName": "LakeFormation*"
        }
      }
    }
  ]
}

Como habilitar a nova versão

Siga estas etapas para atualizar as configurações da versão da conta cruzada por meio do AWS Lake Formation console ou AWS CLI o.

Console

  1. Selecione Versão 2, Versão 3 ou Versão 4 em Configurações de versão entre contas na página de Configurações do catálogo de dados. Se você selecionar a Versão 1, o Lake Formation usará o modo padrão de compartilhamento de recursos.

    Data catalog settings page with options for permissions, AWS CloudTrail, and cross account versions.

  2. Escolha Salvar

AWS Command Line Interface (AWS CLI)

Use o put-data-lake-settings AWS CLI comando para definir o CROSS_ACCOUNT_VERSION parâmetro. Os valores aceitos são 1, 2, 3 e 4.

aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
    "DataLakeAdmins": [
        {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/test"
        }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "Parameters": {
        "CROSS_ACCOUNT_VERSION": "3"
    }
}
Importante

Após escolher a Versão 2 ou a Versão 3, todas as novas concessões de recursos nomeados passarão pelo novo modo de concessão entre contas. Para otimizar o uso AWS RAM da capacidade de seus compartilhamentos entre contas existentes, recomendamos que você revogue as concessões que foram feitas com a versão anterior e conceda novamente no novo modo.