Wie teile ich AWS-Glue-Datenkatalog-Datenbanken und -Tabellen mit AWS Lake Formation kontoübergreifend?

Lösung

Mit der kontoübergreifenden Funktion von Lake Formation kannst du anderen AWS-Konten Zugriff gewähren, um Daten in den oder aus dem Data Lake zu schreiben und zu teilen. Die Ressourcen können entweder über eine tagbasierte Zugriffskontrolle oder über benannte Ressourcen gemeinsam genutzt werden. Dieser Artikel konzentriert sich darauf, kontoübergreifenden Zugriff auf Datenkatalogressourcen mithilfe der Methode für benannte Ressourcen zu gewähren.

Sicherstellen, dass die Voraussetzungen erfüllt sind

Beachte die folgenden Voraussetzungen, bevor du deine Datenkatalogressourcen mit einem anderen Konto teilst oder auf Ressourcen zugreifst, die von einem anderen Konto aus geteilt wurden:

Lake Formation-Berechtigungen widerrufen

Entziehe der Gruppe IAMAllowedPrincipals alle Lake Formation-Berechtigungen für die Datenkatalogressource.

Verhindern, dass neue Tabellen Super-Berechtigungen erhalten

Bei Datenkatalogdatenbanken, die Tabellen enthalten, die du möglicherweise teilst, solltest du verhindern, dass neue Tabellen standardmäßig die Gewährung Super für IAMAllowedPrincipals erhalten:

1. Öffne die Lake-Formation-Konsole.
2. Wähle im Navigationsbereich unter Datenkatalog die Option Datenbanken aus.
3. Wähle die Datenbank aus, die du aktualisieren möchtest.
4. Wähle Aktionen und dann Bearbeiten aus.
5. Deaktiviere unterStandardberechtigungen für neu erstellte Tabellendie OptionNur IAM-Zugriffskontrolle für neue Tabellen in dieser Datenbank verwenden.
6. Wähle Speichern aus.

Weitere Informationen findest du unter Super.

Für den kontoübergreifenden Zugriff erforderliche Berechtigungen hinzufügen

Wenn die Ressourcenrichtlinie für den AWS-Glue-Datenkatalog bereits im Konto aktiviert ist, kannst du entweder die Richtlinie entfernen oder der Richtlinie neue Berechtigungen hinzufügen, die für kontoübergreifende Gewährungen erforderlich sind. Im Folgenden findest du ein Beispiel für eine Ressourcenrichtlinie, um kontoübergreifenden AWS Glue-Zugriff auf das Konto 5555666677778888 vom Konto 1111222233334444 aus zu gewähren.

Weitere Informationen findest du unter Kontoübergreifenden Zugriff gewähren.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ram.amazonaws.com"
      },
      "Action": "glue:ShareResource",
      "Resource": [
        "arn:aws:glue:us-east-1:1111222233334444:table/*/*",
        "arn:aws:glue:us-east-1:1111222233334444:database/*",
        "arn:aws:glue:us-east-1:1111222233334444:catalog"
      ]
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::5555666677778888:root"
      },
      "Action": "glue:*",
      "Resource": [
        "arn:aws:glue:us-east-1:1111222233334444:table/*/*",
        "arn:aws:glue:us-east-1:1111222233334444:database/*",
        "arn:aws:glue:us-east-1:1111222233334444:catalog"
      ]
    }
  ]
}

Teilen mit Organisationen aktivieren

Wenn die Datenkatalogressourcen von Organisationen gemeinsam genutzt werden, aktiviere das Teilen mit AWS Organizations mithilfe der AWS-RAM-Konsole. Der AWS Identity and Access Management (IAM)-Benutzer oder die Rolle, die diese Option aktiviert, muss über die IAM-Berechtigung ram:EnableSharingWithAwsOrganization verfügen.

Weitere Informationen findest du unter Voraussetzungen für den kontoübergreifenden Zugriff.

Erforderliche IAM-Berechtigungen gewähren

Quellkonto: Um die Methode der benannten Ressourcen zur Erteilung kontoübergreifender Berechtigungen zu verwenden, musst du über die erforderlichen IAM-Berechtigungen für AWS Glue und AWS Resource Access Manager (AWS RAM) verfügen. Du kannst die von AWS verwaltete Richtlinie AWSLakeFormationCrossAccountManager auswählen, die diese Berechtigungen gewährt, oder eine neue Richtlinie auf der Grundlage dieser Richtlinie erstellen.

Zielkonto: Data Lake-Administratoren in Zielkonten müssen über die folgende zusätzliche Richtlinie verfügen. Diese Richtlinie ermöglicht es dem Administrator, die Einladungen zur gemeinsamen Nutzung von AWS-RAM-Ressourcen anzunehmen und die gemeinsame Nutzung von Ressourcen mit Organisationen zu ermöglichen:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ram:AcceptResourceShareInvitation",
        "ram:RejectResourceShareInvitation",
        "ec2:DescribeAvailabilityZones",
        "ram:EnableSharingWithAwsOrganization"
      ],
      "Resource": "*"
    }
  ]
}

Hinweis: Der IAM-Benutzer oder die IAM-Rolle, die die Einladung zur Ressourcenfreigabe im AWS RAM erhält, muss über die erforderlichen IAM-Berechtigungen für glue:putResourcePolicy verfügen.

Datenbank und ihre Tabellen mit dem Zielkonto teilen

Gehe wie folgt vor, um eine Datenbank und alle Tabellen in der Datenbank für das Zielkonto freizugeben, das nicht Teil der Organisation ist:

Hinweis: Wenn du alle Tabellen in einer Datenbank im Quellkonto gemeinsam nutzt, wird jede neue Tabelle, die im Quellkonto erstellt wurde, automatisch mit dem Zielkonto geteilt.

Gehe im Quellkonto wie folgt vor:

1. Öffne die Lake Formation-Konsole und melde dich als Data Lake-Administrator an.
2. Wähle im Navigationsbereich Datenbanken aus.
3. Wähle die Datenbank aus, die du teilen möchtest.
4. Wähle Aktionen und dann Gewähren aus.
5. Wähle Externes Konto aus.
6. Gib bei AWS-Konto-ID oder AWS-Organisations-ID die Konto-ID des Zielkontos ein.
7. Vergewissere dich, dass für Tabelle die Option Alle Tabellen ausgewählt ist.
8. Wähle für Tabellenberechtigungen und Erteilbare Berechtigungen die Zugriffsberechtigungen aus, die du gewähren möchtest.
9. Wähle Gewähren aus.

Gehe im Zielkonto wie folgt vor:

1. Öffne die AWS RAM-Konsole.
2. Wähle im Navigationsbereich unter Mit mir geteilt die Option Ressourcenfreigaben aus.
3. Prüfe die Liste der Ressourcenfreigaben, auf die dir Zugriff gewährt wurde.
4. Um die Einladung für die vom Quellkonto freigegebene Ressource anzunehmen, wähle die Ressourcenfreigabe-ID aus und klicke auf Ressourcenfreigabe akzeptieren.
5. Öffne die Lake-Formation-Konsole.
6. Wähle im Navigationsbereich Datenbanken aus.
   Du kannst die gemeinsam genutzte Datenbank in der Liste einsehen. Die Inhaberkonto-ID für diese Datenbank zeigt die Konto-ID des Quellkontos.
7. Wähle die gemeinsam genutzte Datenbank und dann Aktionen aus.
8. Wähle Ressourcen-Link erstellen aus.
9. Gehe auf der Seite Ressourcen-Link erstellen wie folgt vor:
   Gib unter Name des Ressourcen-Links den Namen des Ressourcen-Links ein.
   Vergewissere dich, dass für Gemeinsam genutzte Datenbank der Name der gemeinsam genutzten Datenbank ausgewählt ist.
   Gib für die Inhaber-ID der gemeinsam genutzten Datenbank die Konto-ID des Quellkontos ein.
10. Wähle Erstellen aus.
    Der Ressourcen-Link wird erstellt.

Ressourcen-Links sind Datenkatalogobjekte, die Links zu Metadaten-Datenbanken und -Tabellen sind, in der Regel zu gemeinsam genutzten Datenbanken und Tabellen von anderen AWS-Konten. Sie helfen dabei, den kontoübergreifenden Zugriff auf Daten im Data Lake zu ermöglichen. Nachdem der Ressourcen-Link erstellt wurde, kannst du die Tabellen in der gemeinsam genutzten Datenbank mit dem Data Lake-Administratorzugriff abfragen.

Um den IAM-Benutzern/-Prinzipalen Zugriff auf die gemeinsam genutzte Datenbank zu gewähren, gewähre die erforderlichen Berechtigungen für den Ressourcen-Link und die gemeinsam genutzte Datenbank. Dadurch können die IAM-Benutzer/-Prinzipalen die gemeinsam genutzte Datenbank und den Ressourcen-Link in ihrer Lake Formation-Konsole anzeigen. Die IAM-Benutzer können die Datenbank und den Ressourcen-Link auch in ihrer Amazon Athena-Konsole oder Amazon Redshift Spectrum anzeigen.

Gehe wie folgt vor, um IAM-Benutzern Zugriff auf den Ressourcen-Link zu gewähren:

1. Öffne die Lake Formation-Konsole und melde dich als Data Lake-Administrator an.
2. Wähle im Navigationsbereich Datenbanken aus.
3. Wähle den Ressourcen-Link aus, den du erstellt hast.
4. Wähle Aktionen und dann Gewähren aus.
5. Wähle unter Prinzipale die Option IAM-Benutzer und -Rollen aus.
6. Wähle für IAM-Benutzer und -Rollen den IAM-Benutzer oder Prinzipal aus, für den du Zugriff gewähren musst.
7. Wähle unter Berechtigungen für Ressourcen-Links die Option Beschreiben aus.
8. Wähle Gewähren aus.

Gehe wie folgt vor, um den IAM-Benutzern Zugriff auf die gemeinsam genutzten Datenbanken zu gewähren:

1. Öffne die Lake Formation-Konsole und melde dich als Data Lake-Administrator an.
2. Wähle im Navigationsbereich Datenbanken aus.
3. Wähle die gemeinsam genutzte Datenbank aus.
4. Wähle Aktionen und dann Gewähren aus.
5. Wähle unter „Prinzipale“ die Option „IAM-Benutzer und -Rollen“ aus.
6. Wähle für „IAM-Benutzer und -Rollen“ den IAM-Benutzer oder Prinzipal aus, für den du Zugriff gewähren musst.
7. Wähle unter Datenbankberechtigungen die Option Beschreiben aus.
   Hinweis: Dieser Schritt bietet den Benutzern die Mindestberechtigungen zum Anzeigen der gemeinsam genutzten Datenbank.
8. Wähle Gewähren aus.

Um Zugriff auf alle oder bestimmte Tabellen in der Datenbank zu gewähren, wähle die Option Alle Tabellen aus:

1. Wähle den Ressourcen-Link aus.
2. Wähle Aktionen und dann Gewähren aus.
3. Wähle IAM-Benutzer und -Rollen aus.
4. Wähle für IAM-Benutzer und -Rollen den Benutzer/Prinzipal aus, für den du Zugriff gewähren möchtest.
5. Gehe unter LF-Tags oder Katalogressourcen wie folgt vor:
   Um Zugriff auf alle Tabellen in der Datenbank zu gewähren, wähle für Tabellen – optional die Option Alle Tabellen aus.
   Um nur auf bestimmte Tabellen in der Datenbank Zugriff zu gewähren, wähle unter Tabellen – optional die Tabellen aus.
6. Wähle für Tabellenberechtigungen und Erteilbare Berechtigungen die Optionen Auswählen und Beschreiben aus.
7. Wähle Gewähren aus.

Hinweis: Du kannst nur die Berechtigungen gewähren, die du als Erteilbare Berechtigungen im Quellkonto ausgewählt hast.

Nachdem du die erforderlichen Berechtigungen erteilt hast, kannst du die Tabelle in Athena erfolgreich vom Zielkonto aus abfragen.

Nur Tabellen mit dem Zielkonto teilen

Um einzelne Tabellen mit dem Zielkonto zu teilen, folge den Anweisungen im vorherigen Abschnitt mit den folgenden Änderungen.

Quellkonto:

Um von der Lake Formation-Konsole aus Zugriff auf das Zielkonto zu gewähren, wähle die einzelnen Tabellen aus, anstatt die Datenbank auszuwählen.

Zielkonto:

• Akzeptiere die Ressourcenfreigabe in der AWS-RAM-Konsole, um auf die gemeinsam genutzte Tabelle in der Lake Formation-Konsole zuzugreifen.
• Erstelle einen Ressourcen-Link für die gemeinsam genutzte Tabelle. Nachdem der Ressourcen-Link erstellt wurde, kannst du die gemeinsam genutzte Tabelle mit dem Data Lake-Administratorzugriff abfragen.
• Um den IAM-Benutzern/-Prinzipalen Zugriff auf die gemeinsam genutzte Tabelle zu gewähren, musst du Berechtigungen für den Ressourcen-Link gewähren.

Zusätzliche Überlegungen überprüfen

• Wenn du Berechtigungen für die Tabelle gewährst, kannst du den Zugriff nur für die bestimmten Spalten in der Tabelle einschränken. Wenn du dies tust, kann das Zielkonto nur diese Spalten in der gemeinsam genutzten Tabelle anzeigen.
• Stelle sicher, dass die IAM-Benutzer/Prinzipale des Zielkontos Zugriff auf den Amazon Simple Storage Service (Amazon S3)-Pfad im Quellkonto haben.
• Wenn du dem Quellkonto die zuvor erteilten Berechtigungen entziehst, kann das Zielkonto nicht auf die gemeinsam genutzte Datenbank/Tabelle zugreifen. Der Ressourcen-Link, den du im Zielkonto erstellt hast, wird jedoch nicht automatisch gelöscht. Du musst den Ressourcen-Link manuell löschen.
• Wenn du eine Datenbank/Tabelle löscht, werden die Ressourcenanteile im AWS RAM nicht automatisch gelöscht. Daher musst du die kontoübergreifenden Berechtigungen manuell widerrufen, bevor du eine gemeinsam genutzte Datenbank oder Tabelle löscht.

---

Ähnliche Informationen

Gemeinsame Datenkatalogtabellen und Datenbanken anzeigen

Ressourcen-Links erstellen

Datenspeicherberechtigungen erteilen (externes Konto)

Berechtigungen für Datenkatalogressourcen erteilen und widerrufen

So funktioniert die kontoübergreifende Funktion von AWS Lake Formation