更新跨账户数据共享版本设置 - AWS Lake Formation
跨账户版本设置之间的主要区别优化 AWS RAM 资源共享通过委托人启用 AWS RAM 共享资源TBAC或直接与委托人共享资源启用新版本

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更新跨账户数据共享版本设置

不时 AWS Lake Formation 更新跨账户数据共享设置,以区分对 AWS RAM 使用情况所做的更改,并支持对跨账户数据共享功能所做的更新。当 Lake Formation 执行此操作时,它会创建新版本的跨账户版本设置

跨账户版本设置之间的主要区别

有关如何在不同跨账户版本设置下进行跨账户数据共享的更多信息,请参阅以下章节。

注意

要与其他账户共享数据,授予者必须具有AWSLakeFormationCrossAccountManager托管IAM策略权限。这是所有版本的先决条件。

更新跨账户版本设置不会影响接收方对共享资源的权限。这适用于从版本 1 更新为版本 2、从版本 2 更新为版本 3 以及从版本 1 更新为版本 3 的情况。更新版本时,请参阅下面列出的注意事项。

版本 1

命名资源方法:将授予的每个跨账户 Lake Formation 权限映射到一个 AWS RAM 资源共享。用户(授予者角色或主体)不需要其他权限。

LF-TBAC 方法:跨账户 Lake Formation 权限授予不用于 AWS RAM 共享数据。您必须拥有 glue:PutResourcePolicy 权限。

更新版本的好处:初始版本 - 不适用。

更新版本时的注意事项:初始版本 - 不适用

版本 2

命名资源方法:通过将多个跨账户权限授予映射到一个 AWS RAM 资源共享来优化 AWS RAM 资源共享的数量。用户不需要额外的权限。

LF-TBAC 方法:跨账户 Lake Formation 权限授予不用于 AWS RAM 共享数据。您必须拥有 glue:PutResourcePolicy 权限。

更新版本的好处:通过优化 AWS RAM 容量利用率实现可扩展的跨账户设置。

更新版本时的注意事项:想要授予跨账户 Lake Formation 权限的用户必须拥有AWSLakeFormationCrossAccountManager AWS 托管策略中的权限。否则,您需要拥有 ram:AssociateResourceShareram:DisassociateResourceShare 权限才能成功与其他账户共享资源。

版本 3

命名资源方法:通过将多个跨账户权限授予映射到一个 AWS RAM 资源共享来优化 AWS RAM 资源共享的数量。用户不需要额外的权限。

LF-TBAC 方法:Lake Formati AWS RAM on 用于跨账户拨款。用户必须在glue:PutResourcePolicy权限中添加 glue: ShareResource 语句。收件人必须接受来自的资源共享邀请 AWS RAM。

更新版本的好处:支持以下功能:

  • 允许与外部账户中的IAM委托人明确共享资源。

    有关更多信息,请参阅 授予对数据目录资源的权限

  • 使用 LF TBAC 方法向 Organizations 或组织单位 (OUs) 启用跨账户共享。

  • 消除了维护跨账户授予额外 AWS Glue 政策的开销。

更新版本时的注意事项:当您使用 LF-TBAC 方法共享资源时,如果授予人使用的版本低于版本 3,而接收者使用的是版本 3 或更高版本,则授予者会收到以下错误消息:“跨账户授权请求无效。使用者账户可以选择使用跨账户版本:v3。请更新CrossAccountVersionDataLakeSetting至最低版本 v3(服务: AmazonDataCatalog;状态码:400;错误代码: InvalidInputException)”。但是,如果授予者使用版本 3,而接收者使用的是版本 1 或版本 2,则使用 LF-tag 的跨账户授权将成功通过。

使用指定资源方法进行的跨账户授权在不同版本之间兼容。即使设保人账户使用的是旧版本(版本 1 或 2),而收款人账户使用的是较新的版本(版本 3 或更高版本),跨账户访问功能也可以无缝运行,不会出现任何兼容性问题或错误。

要直接与其他账户的IAM委托人共享资源,只有授予者需要使用版本 3。

使用 LF TBAC 方法进行的跨账户授予要求用户在账户中拥有 AWS Glue Data Catalog 资源策略。更新到版本 3 时,LF-TBAC 授予使用权限 AWS RAM。要允许 AWS RAM 基于跨账户的授予成功,您必须将该glue:ShareResource声明添加到现有的 Data Catalog 资源策略中,如同时使用两者管理跨账户权限 AWS Glue 和 Lake Formation部分所示。

版本 4

授予者需要版本 4 或更高版本才能在混合访问模式下共享数据目录资源。

优化 AWS RAM 资源共享

跨账户赠款的新版本(第 2 版及更高版本)以最佳方式利用 AWS RAM 容量来最大限度地提高跨账户使用率。当您与外部 AWS 账户 或IAM委托人共享资源时,Lake Formation 可能会创建新的资源共享或将该资源与现有共享相关联。通过与现有共享关联,Lake Formation 减少了用户需要接受的资源共享邀请的数量。

通过委托人启用 AWS RAM 共享资源TBAC或直接与委托人共享资源

要直接与其他账户中的IAM委托人共享资源,或者要向 Organizations 或组织单位启用TBAC跨账户共享,您需要将跨账户版本设置更新为版本 3。有关 AWS RAM 资源限制的更多信息,请参阅跨账户数据共享最佳实践和注意事项

更新跨账户版本设置所需的权限

如果跨账户权限授予者拥有托AWSLakeFormationCrossAccountManager管IAM策略权限,则无需为跨账户权限授予者角色或委托人进行额外的权限设置。但是,如果跨账户授予者未使用托管策略,则授予者角色或委托人应具有以下IAM权限,才能成功使用新版本的跨账户授权。

  
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
         "ram:AssociateResourceShare",
         "ram:DisassociateResourceShare",
         "ram:GetResourceShares"
       ],
     "Resource": "*",
     "Condition": {
       "StringLike": {
         "ram:ResourceShareName": "LakeFormation*"
        }
      }
    }
  ]
}

启用新版本

按照以下步骤更新跨账户版本设置 AWS Lake Formation 控制台或 AWS CLI.

Console

  1. 数据目录设置页面的跨账户版本设置下选择版本 2版本 3版本 4。如果您选择版本 1,Lake Formation 将使用默认的资源共享模式。

    Data catalog settings page with options for permissions, AWS CloudTrail, and cross account versions.

  2. 选择保存

AWS Command Line Interface (AWS CLI)

使用put-data-lake-settings AWS CLI 命令设置CROSS_ACCOUNT_VERSION参数。可接受的值为 1、2、3 和 4。

aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
    "DataLakeAdmins": [
        {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/test"
        }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "Parameters": {
        "CROSS_ACCOUNT_VERSION": "3"
    }
}
重要

选择版本 2版本 3 后,所有新的命名资源授权都将通过新的跨账户授权模式进行。为了以最佳方式使用现有跨账户共享的 AWS RAM 容量,我们建议您撤销旧版本的授权,并在新模式下重新授权。