使用混合存取模式共用 Lake Formation 資源 - AWS Lake Formation

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用混合存取模式共用 Lake Formation 資源

允許外部帳戶中的新 Data Catalog 使用者使用 IAM 型政策存取 Data Catalog 資料庫和資料表,而不會中斷現有的 Lake Formation 跨帳戶共用許可。

案例描述 - 生產者帳戶具有 Lake Formation 受管資料庫和資料表,這些資料庫和資料表會在帳戶層級或 IAM 委託人層級與外部 (消費者) 帳戶共用。資料庫的資料位置已向 Lake Formation 註冊。IAMAllowedPrincipals 群組沒有資料庫及其資料表的Super許可。

透過以 IAM 為基礎的政策授予新 Data Catalog 使用者的跨帳戶存取權,而不會中斷現有的 Lake Formation 許可
  1. 生產者帳戶設定

    1. 使用 角色登入 Lake Formation 主控台lakeformation:PutDataLakeSettings

    2. Data Catalog 設定下,Version 4選擇跨帳戶版本設定

      如果您目前正在使用第 1 版或第 2 版,請參閱更新到第 3 版更新跨帳戶資料共用版本設定的說明。

      從第 3 版升級至第 4 版不需要任何許可政策變更。

    3. 列出您已授予資料庫和資料表主體的許可。如需詳細資訊,請參閱查看 Lake Formation 中的數據庫和表權限

    4. 選擇加入主體和資源,以授予現有的 Lake Formation 跨帳戶許可。

      注意

      在將資料位置註冊更新為混合存取模式以授予跨帳戶許可之前,您需要每個帳戶至少授予一個跨帳戶資料共用。此步驟是更新連接到 AWS RAM 資源共享的 AWS RAM 受管許可所必需的。

      2023 年 7 月,Lake Formation 已更新用於共用資料庫和資料表的 AWS RAM 受管許可:

      • arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueAllTablesReadWriteForDatabase (資料庫層級共享政策)

      • arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueTableReadWrite (資料表層級共享政策)

      在 2023 年 7 月之前進行的跨帳戶許可授予沒有這些更新的 AWS RAM 許可。

      如果您已將跨帳戶許可直接授予委託人,則需要個別將這些許可授予委託人。如果您略過此步驟,存取共用資源的主體可能會收到非法的組合錯誤。

    5. 前往 https://https://console.aws.amazon.com/ram

    6. AWS RAM 主控台中的由我共用索引標籤會顯示您已與外部帳戶或主體共用的資料庫和資料表名稱。

      確保連接到共用資源的許可具有正確的 ARN。

    7. 確認 AWS RAM 共用中的資源處於 Associated 狀態。如果狀態顯示為 Associating,請等待其進入Associated狀態。如果狀態變成 Failed,請停止並聯絡 Lake Formation 服務團隊。

    8. 在左側導覽列的許可下選擇混合存取模式,然後選擇新增

    9. 新增主體和資源頁面會顯示資料庫和/或資料表,以及有權存取的主體。您可以新增或移除主體和資源,以進行必要的更新。

    10. 為您要變更為混合存取模式的資料庫和資料表,選擇具有 Lake Formation 許可的主體。選擇資料庫和資料表。

    11. 選擇新增以選擇加入主體,以在混合存取模式中強制執行 Lake Formation 許可。

    12. Super許可授予資料庫和所選資料表IAMAllowedPrincipals上的虛擬群組。

    13. 將 Amazon S3 位置 Lake Formation 註冊編輯為混合存取模式。

    14. 使用 Amazon S3 AWS Glue actions 的 IAM 許可政策,為外部 (消費者) 帳戶中 AWS Glue 的使用者授予許可。

  2. 消費者帳戶設定

    1. 以資料湖管理員身分登入 Lake Formation 主控台,網址為 https://console.aws.amazon.com/lakeformation/://。

    2. 前往 https://https://console.aws.amazon.com/ram。 AWS RAM 頁面中與我共用的資源索引標籤會顯示與您的帳戶共用的資料庫和資料表名稱。

      針對 AWS RAM 共用,請確定連接的許可具有共用 AWS RAM 邀請的正確 ARN。檢查 AWS RAM 共用中的資源是否處於 Associated 狀態。如果狀態顯示為 Associating,請等待其進入Associated狀態。如果狀態變成 Failed,請停止並聯絡 Lake Formation 服務團隊。

    3. 在 Lake Formation 中建立共用資料庫和/或資料表的資源連結。

    4. 將資源連結和Grant on target許可 (在原始共用資源上) 的Describe許可授予您 (消費者) 帳戶中的 IAM 主體。

    5. 接下來,在共用資料庫或資料表上為帳戶中的主體設定 Lake Formation 許可。

      在左側導覽列的許可下,選擇混合存取模式

    6. 混合存取模式頁面的下一節選擇新增,以選擇加入委託人,以及從生產者帳戶與您共用的資料庫或資料表。

    7. 使用 Amazon S3 AWS Glue actions 的 IAM 許可政策,為您帳戶中 AWS Glue 的使用者授予許可。

    8. 使用 Athena 在資料表上執行個別的範例查詢,以測試使用者的 Lake Formation AWS Glue 許可

      (選用) 針對處於混合存取模式的主體,清除 Amazon S3 的 IAM 許可政策。