使用混合存取模式共用 AWS Glue 資源 - AWS Lake Formation

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用混合存取模式共用 AWS Glue 資源

在另一個 AWS 帳戶 強制執行 Lake Formation 許可中與另一個主體 AWS 帳戶 或委託人共用資料,而不會中斷現有 Data Catalog 使用者IAM以存取。

案例描述 - 生產者帳戶有一個 Data Catalog 資料庫,該資料庫具有使用 Amazon S3 和 AWS Glue 動作的IAM主體政策控制的存取。資料庫的資料位置未向 Lake Formation 註冊。依預設,該IAMAllowedPrincipals群組在資料庫及其所有資料表上都有Super許可。

在混合存取模式中授予跨帳戶 Lake Formation 許可
  1. 生產者帳戶設定

    1. 使用具有 lakeformation:PutDataLakeSettings IAM 許可的角色登入 Lake Formation 主控台。

    2. 前往 Data Catalog 設定 ,然後選擇Version 4跨帳戶版本設定

      如果您目前正在使用第 1 版或第 2 版,請參閱更新至第 3 版更新跨帳戶資料共用版本設定的說明。

      從第 3 版升級至第 4 版時,不需要變更許可政策。

    3. 註冊您計劃在混合存取模式中共用的資料庫或資料表的 Amazon S3 位置。

    4. 在上述步驟中,確認您在以混合存取模式註冊資料位置的資料庫和資料表上,存在IAMAllowedPrincipals群組的Super許可。

    5. 將 Lake Formation 許可授予 AWS 組織、組織單位 (OUs),或直接授予另一個帳戶中的IAM委託人。

    6. 如果您將許可直接授予IAM委託人,請從消費者帳戶選擇接收委託人,透過啟用使 Lake Formation 許可立即生效的選項,在混合存取模式中強制執行 Lake Formation 許可

      如果您將跨帳戶許可授予另一個 AWS 帳戶,當您選擇加入帳戶時,Lake Formation 許可只會對該帳戶的管理員強制執行。收件人帳戶資料湖管理員需要級聯許可,並選擇帳戶中的主體,才能對處於混合存取模式的共用資源強制執行 Lake Formation 許可。

      如果您選擇 LF-Tags 相符的資源選項來授予跨帳戶許可,則需要先完成授予許可步驟。您可以在 Lake Formation 主控台左側導覽列的許可下選擇混合存取模式,選擇將主體和資源加入混合存取模式作為個別步驟。然後選擇新增以新增您要強制執行 Lake Formation 許可的資源和主體。

  2. 消費者帳戶設定

    1. 以資料湖管理員https://console.aws.amazon.com/lakeformation/身分登入 Lake Formation 主控台 。

    2. 前往 https://console.aws.amazon.com/ram ,接受資源共用邀請。 AWS RAM 主控台中的與我共用索引標籤會顯示與您的帳戶共用的資料庫和資料表。

    3. 在 Lake Formation 中建立共用資料庫和/或資料表的資源連結。

    4. 將 資源連結和Grant on target許可 (在原始共用資源上) 的Describe許可授予您 (消費者) 帳戶中的IAM主體。

    5. 將與您共用的資料庫或資料表的 Lake Formation 許可授予您帳戶中的主體。選擇主體和資源,透過啟用使 Lake Formation 許可立即生效的選項,在混合存取模式中強制執行 Lake Formation 許可

    6. 透過執行範例 Athena 查詢來測試主體的 Lake Formation 許可。使用 Amazon S3 和 AWS Glue 動作IAM的主要政策來測試 AWS Glue 使用者現有的存取權。

      (選用) 移除您設定為使用 Lake Formation 許可之主體的資料存取和IAM主體政策的 AWS Glue Amazon S3 Amazon S3儲存貯體政策,以及 Amazon S3 資料存取。 Amazon S3