同时使用两者管理跨账户权限 AWS Glue 和 Lake Formation - AWS Lake Formation

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

同时使用两者管理跨账户权限 AWS Glue 和 Lake Formation

可以通过以下任一方式授予对数据目录资源和基础数据的跨账户访问权限 AWS Glue 或 AWS Lake Formation。

In AWS Glue,您可以通过创建或更新数据目录资源策略来授予跨账户权限。在 Lake Formation 中,您可以使用 Lake Formation GRANT/REVOKE 权限模型和Grant PermissionsAPI操作来授予跨账户权限。

提示

我们建议仅依靠 Lake Formation 权限来保护您的数据湖。

你可以使用 Lake Formation 控制台或 AWS Resource Access Manager (AWS RAM) 控制台查看 Lake Formation 跨账户授权。但是,这些控制台页面不显示由授予的跨账户权限 AWS Glue 数据目录资源策略。同样,您可以使用数据目录的设置页面在数据目录资源策略中查看跨账户授权 AWS Glue 控制台,但该页面未显示使用 Lake Formation 授予的跨账户权限。

为了确保您在查看和管理跨账户权限时不会错过任何授权,Lake Formation 和 AWS Glue 要求您执行以下操作,以表明您知道并允许 Lake Formation 和 AWS Glue.

使用授予跨账户权限时 AWS Glue 数据目录资源政策

如果您的账户(授予人账户或创建者账户)没有进行用于 AWS RAM 共享资源的跨账户授权,则可以照常将数据目录资源策略保存在中 AWS Glue。 但是,如果已经进行了涉及 AWS RAM 资源共享的授权,则必须执行以下操作之一,以确保成功保存资源策略:

  • 当您在的 “设置” 页面上保存资源策略时 AWS Glue 控制台,控制台会发出警报,指出策略中的权限将是使用 Lake Formation 控制台授予的任何权限之外的权限。必须选择继续才能保存该策略。

  • 使用glue:PutResourcePolicyAPI操作保存资源策略时,必须将该EnableHybrid字段设置为 'TRUE'(类型 = 字符串)。以下代码示例演示如何在 Python 中执行此操作。

    import boto3
import json

REGION = 'us-east-2'
PRODUCER_ACCOUNT_ID = '123456789012'
CONSUMER_ACCOUNT_IDs = ['111122223333']

glue = glue_client = boto3.client('glue')

policy = {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Cataloguers",
            "Effect": "Allow",
            "Action": [
                "glue:*"
            ],
            "Principal": {
                "AWS": CONSUMER_ACCOUNT_IDs
            },
            "Resource": [
                f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:catalog",
                f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:database/*",
                f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:table/*/*"
            ]
        }
    ]
}

policy = json.dumps(policy)
glue.put_resource_policy(PolicyInJson=policy, EnableHybrid='TRUE')

    有关更多信息,请参阅PutResourcePolicy 《开发者指南》中的操作(Python:put_resource_policy)。AWS Glue

使用 Lake Formation 命名资源方法授予跨账户权限时

如果您的账户(创建者账户)中没有数据目录资源政策,则您进行的 Lake Formation 跨账户授予将照常进行。但是,如果存在数据目录资源策略,则必须在其中添加以下语句,以确保使用命名资源方法进行的跨账户授权成功完成。Replace(替换) <region> 使用有效的地区名称和 <account-id> 使用您的 AWS 账户 ID(制作人账户 ID)。

    {
      "Effect": "Allow",
      "Action": [
        "glue:ShareResource"
      ],
      "Principal": {"Service": [
        "ram.amazonaws.com"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:<account-id>:table/*/*",
        "arn:aws:glue:<region>:<account-id>:database/*",
        "arn:aws:glue:<region>:<account-id>:catalog"
      ]
    }

如果没有这份额外的声明,Lake Formation 授权就会成功 AWS RAM,但会被封锁,接收者账户将无法访问授予的资源。

重要

使用基于 Lake Formation 标签的访问控制 (LF-TBAC) 方法进行跨账户授权时,您的数据目录资源策略必须至少具有中指定的权限。先决条件

另请参见: