使用混合访问模式共享 AWS Glue 资源 - AWS Lake Formation

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用混合访问模式共享 AWS Glue 资源

在不中断现有数据目录用户IAM基于数据目录用户的访问权限的情况下,与 AWS 账户 强制执行 Lake Formation 权限的其他人 AWS 账户 或委托人共享数据。

场景描述-创建者账户有一个数据目录数据库,该数据库的访问权限使用针对 Amazon S3 的IAM委托人策略和 AWS Glue 操作进行控制。数据库的数据位置未在 Lake Formation 中注册。默认情况下,该IAMAllowedPrincipals组拥有数据库及其所有表的Super权限。

在混合访问模式下授予跨账户 Lake Formation 权限
  1. 制作者账户设置

    1. 使用具有lakeformation:PutDataLakeSettingsIAM权限的角色登录 Lake Formation 控制台。

    2. 前往数据目录设置,然后在跨账户版本设置中选择Version 4

      如果您当前使用的是版本 1 或 2,请参阅有关更新至版本 3 的更新跨账户数据共享版本设置说明。

      从版本 3 升级到 4 时,无需更改权限策略。

    3. 注册您计划在混合访问模式下共享的数据库或表的 Amazon S3 位置。

    4. 验证 IAMAllowedPrincipals 组对在上述步骤中在混合访问模式下注册其数据位置的数据库和表是否拥有 Super 权限。

    5. 向 AWS 组织、组织单位 (OUs) 授予 Lake Formation 权限,或者直接向其他账户中的IAM委托人授予 Lake Formation 权限。

    6. 如果您直接向IAM委托人授予权限,请启用 “让 Lake Formation 权限立即生效” 选项,从使用者账户中选择委托人,以便在混合访问模式下强制执行 Lake Formation 权限

      如果您向其他账户授予跨账户权限,则当您选择加入该 AWS 账户时,Lake Formation 权限仅适用于该账户的管理员。接收方账户数据湖管理员需要向下级联权限并选择账户中的主体,才能对处于混合访问模式的共享资源强制实施 Lake Formation 权限。

      如果您选择通过 LF 标签匹配的资源选项来授予跨账户权限,则需要先完成权限授予步骤。您可以单独执行一步,通过在 Lake Formation 控制台左侧导航栏的“权限”下选择混合访问模式来选择要置于混合访问模式下的主体和资源。然后选择添加以添加资源和主体来强制实施 Lake Formation 权限。

  2. 使用者账户设置

    1. 以数据湖管理员的身份登录 Lake https://console.aws.amazon.com/lakeformation/Formation 控制台。

    2. 前往 https://console.aws.amazon.com/ram,接受资源共享邀请。 AWS RAM 控制台中的 “与我共享” 选项卡显示与您的账户共享的数据库和表。

    3. 在 Lake Formation 中创建指向共享数据库和/或表的资源链接。

    4. 向您(消费者)账户中的IAM委托人授予Describe资源链接Grant on target权限和(原始共享资源)权限。

    5. 向账户中的主体授予对与您共享的数据库或表的 Lake Formation 权限。通过启用让 Lake Formation 权限立即生效选项,选择主体和资源以在混合访问模式下强制实施 Lake Formation 权限。

    6. 通过运行示例 Athena 查询来测试主体的 Lake Formation 权限。使用 Amazon S3 IAM 的主体策略和 AWS Glue 操作测试 AWS Glue 用户的现有访问权限。

      (可选)移除针对数据访问的 Amazon S3 存储桶策略和您配置为使用 Lake Formation 权限的IAM委托人的 Amazon S3 数据访问权限的委托人策略 AWS Glue 和 Amazon S3 数据访问权限的委托人策略。