New user sign up using AWS Builder ID
New user sign up using AWS Builder ID is currently unavailable on re:Post. To sign up, please use the AWS Management Console instead.
Comment puis-je partager des bases de données et des tables du catalogue de données AWS Glue entre comptes à l'aide d'AWS Lake Formation ?
Je souhaite partager des bases de données et des tables du catalogue de données AWS Glue entre comptes à l'aide d'AWS Lake Formation.
Résolution
Grâce à la fonctionnalité intercompte de Lake Formation, vous pouvez autoriser l'accès à d'autres comptes AWS pour écrire et partager des données depuis ou vers le lac de données. Les ressources peuvent être partagées soit via un contrôle d'accès basé sur des identifications, soit via des ressources nommées. Cet article porte sur l'octroi d'un accès intercompte aux ressources du catalogue de données à l'aide de la méthode des ressources nommées.
S’assurer que les prérequis sont remplis
Gardez à l’esprit les prérequis suivants avant de partager les ressources de votre catalogue de données avec un autre compte ou d'accéder à des ressources partagées à partir d’un autre compte :
Révoquer les autorisations de Lake Formation
Révoquez toutes les autorisations Lake Formation du groupe IAMAllowedPrincipals pour la ressource du catalogue de données.
Empêcher les nouvelles tables de bénéficier d’autorisations Super
Pour les bases de données du catalogue de données qui contiennent des tables que vous pourriez partager, empêchez les nouvelles tables de bénéficier de l'octroi par défaut des autorisations Super à IAMAllowedPrincipals :
- Ouvrez la console Lake Formation.
- Dans le volet de navigation, sous Catalogue de données, sélectionnez Bases de données.
- Sélectionnez la base de données que vous souhaitez mettre à jour.
- Sélectionnez Actions, puis Modifier.
- Sous Autorisations par défaut pour les tables nouvellement créées, désactivez la case Utiliser uniquement le contrôle d'accès IAM pour les nouvelles tables de cette base de données.
- Sélectionnez Enregistrer.
Pour en savoir plus, consultez la section Super.
Ajouter les autorisations requises pour l'accès intercompte
Si la politique de ressources du catalogue de données AWS Glue est déjà activée dans le compte, vous pouvez soit supprimer la politique, soit ajouter de nouvelles autorisations à la politique qui sont requises pour les autorisations intercompte. Vous trouverez ci-dessous un exemple de politique de ressources permettant de fournir un accès AWS Glue intercompte au compte 5555666677778888 à partir du compte 1111222233334444.
Pour plus d'informations, consultez la section Octroi d'un accès intercompte.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ram.amazonaws.com" }, "Action": "glue:ShareResource", "Resource": [ "arn:aws:glue:us-east-1:1111222233334444:table/*/*", "arn:aws:glue:us-east-1:1111222233334444:database/*", "arn:aws:glue:us-east-1:1111222233334444:catalog" ] }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::5555666677778888:root" }, "Action": "glue:*", "Resource": [ "arn:aws:glue:us-east-1:1111222233334444:table/*/*", "arn:aws:glue:us-east-1:1111222233334444:database/*", "arn:aws:glue:us-east-1:1111222233334444:catalog" ] } ] }
Permettre le partage avec les organisations
Si les ressources du catalogue de données sont partagées entre les organisations, activez le partage avec AWS Organizations dans la console AWS RAM. L'utilisateur ou le rôle AWS Identity and Access Management (IAM) activant cette option doit disposer de l'autorisation IAM ram:EnableSharingWithAwsOrganization.
Pour plus d'informations, consultez la section Prérequis de l’accès intercompte.
Configurer les autorisations IAM requises
Compte source : Pour utiliser la méthode des ressources nommées afin d'accorder des autorisations intercompte, vous devez disposer des autorisations IAM requises pour AWS Glue et AWS Resource Access Manager (AWS RAM). Vous pouvez choisir la politique gérée AWS AWSLakeFormationCrossAccountManager qui accorde ces autorisations ou créer une nouvelle politique basée sur cette politique.
Compte cible : Les administrateurs de lacs de données des comptes cibles doivent appliquer la politique supplémentaire suivante. Cette politique permet à l'administrateur d'accepter les invitations de partage de ressources AWS RAM et d'activer le partage de ressources avec les organisations :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ram:AcceptResourceShareInvitation", "ram:RejectResourceShareInvitation", "ec2:DescribeAvailabilityZones", "ram:EnableSharingWithAwsOrganization" ], "Resource": "*" } ] }
Remarque : L'utilisateur ou le rôle IAM recevant l'invitation de partage de ressources dans AWS RAM doit disposer des autorisations IAM requises pour glue:PutResourcePolicy.
Partager une base de données et ses tables avec le compte cible
Pour partager une base de données et toutes les tables respectives avec le compte cible qui ne fait pas partie de l'organisation, procédez comme suit :
Remarque : Si vous partagez toutes les tables d'une base de données dans le compte source, toute nouvelle table créée dans le compte source est automatiquement partagée avec le compte cible.
Procédez comme suit dans le compte source :
- Ouvrez la console Lake Formation et connectez-vous en tant qu'administrateur de lac de données.
- Dans le volet de navigation, sélectionnez Bases de données.
- Sélectionnez la base de données que vous souhaitez partager.
- Sélectionnez Actions, puis Octroyer.
- Sélectionnez Compte externe.
- Dans ID de compte AWS ou ID d'organisation AWS, saisissez l'ID du compte cible.
- Dans Table, assurez-vous que l'option Toutes les tables est sélectionnée.
- Dans Autorisations de table et Autorisations octroyables, sélectionnez les autorisations d'accès que vous souhaitez accorder.
- Sélectionnez Octroyer.
Dans le compte cible, procédez comme suit :
- Ouvrez la console AWS RAM.
- Dans le volet de navigation, sous Partagé avec moi, sélectionnez Partages de ressources.
- Consultez la liste de partages de ressources auxquels vous avez obtenu l'accès.
- Pour accepter l'invitation pour la ressource partagée à partir du compte source, sélectionnez l'ID de partage de ressources, puis sélectionnez Accepter le partage de ressources.
- Ouvrez la console Lake Formation.
- Dans le volet de navigation, sélectionnez Bases de données.
Vous pouvez consulter la base de données partagée dans la liste. L'ID de compte propriétaire de cette base de données indique l'ID du compte source. - Sélectionnez la base de données partagée, puis choisissez Actions.
- Sélectionnez Créer un lien de ressource.
- Sur la page Créer un lien de ressource, procédez comme suit :
Dans Nom du lien de ressource, saisissez le nom du lien de ressource.
Dans Base de données partagée, assurez-vous que le nom de la base de données partagée est sélectionné.
Dans ID du propriétaire de la base de données partagée, saisissez l'ID du compte source. - Sélectionnez Créer.
Le lien de ressource est créé.
Les liens de ressources sont des objets du catalogue de données qui renvoient à des bases de données et des tables de métadonnées, généralement à des bases de données et des tables partagées provenant d'autres comptes AWS. Ils permettent un accès intercompte aux données du lac de données. Une fois le lien de ressource créé, vous pouvez interroger les tables de la base de données partagée avec l'accès administrateur du lac de données.
Pour accorder l'accès aux utilisateurs/principaux IAM pour la base de données partagée, accordez les autorisations requises pour le lien de ressource et la base de données partagée. Cela permet aux utilisateurs/directeurs IAM de consulter la base de données partagée et le lien de ressource dans leur console Lake Formation. Les utilisateurs IAM peuvent également consulter la base de données et le lien de ressource dans leur console Amazon Athena ou Amazon Redshift Spectrum.
Pour accorder l'accès aux utilisateurs IAM pour le lien de ressource, procédez comme suit :
- Ouvrez la console Lake Formation et connectez-vous en tant qu'administrateur de lac de données.
- Dans le volet de navigation, sélectionnez Bases de données.
- Sélectionnez le lien de ressource que vous avez créé.
- Sélectionnez Actions, puis Octroyer.
- Dans Principaux, sélectionnez Utilisateurs et rôles IAM.
- Dans Utilisateurs et rôles IAM, sélectionnez l'utilisateur ou le principal IAM auquel vous devez accorder l'accès.
- Sous Autorisations relatives aux liens de ressources, sélectionnez Décrire.
- Sélectionnez Octroyer.
Pour accorder l'accès aux utilisateurs IAM pour les bases de données partagées, procédez comme suit :
- Ouvrez la console Lake Formation et connectez-vous en tant qu'administrateur de lac de données.
- Dans le volet de navigation, sélectionnez Bases de données.
- Sélectionnez la base de données partagée.
- Sélectionnez Actions, puis Octroyer.
- Dans Principaux, sélectionnez Utilisateurs et rôles IAM.
- Pour les utilisateurs et les rôles IAM, sélectionnez l'utilisateur ou le principal IAM auquel vous devez accorder l'accès.
- Sous Autorisations de base de données, sélectionnez Décrire.
Remarque : Cette étape fournit les autorisations minimales permettant aux utilisateurs de consulter la base de données partagée. - Sélectionnez Octroyer.
Pour autoriser l'accès à toutes les tables ou à des tables spécifiques de la base de données, sélectionnez l'option Toutes les tables :
- Sélectionnez le lien de ressource.
- Sélectionnez Actions, puis Octroyer.
- Sélectionnez Utilisateurs et rôles IAM.
- Dans Utilisateurs et rôles IAM, sélectionnez l'utilisateur/le principal auquel vous souhaitez accorder l'accès.
- Sous Identifications LF ou ressources du catalogue, procédez comme suit :
Pour autoriser l'accès à toutes les tables de la base de données, dans Tables - facultatif, sélectionnez Toutes les tables.
Pour n'autoriser l'accès qu'à certaines tables de la base de données, dans Tables - facultatif, sélectionnez les tables. - Dans Autorisations de table et Autorisations octroyables, sélectionnez Sélectionner et Décrire.
- Sélectionnez Octroyer.
Remarque : Vous ne pouvez accorder que les autorisations que vous avez sélectionnées pour les autorisations octroyables dans le compte source.
Après avoir accordé les autorisations requises, vous pouvez interroger avec succès la table dans Athena à partir du compte cible.
Partager uniquement les tables avec le compte cible
Pour partager des tables individuelles avec le compte cible, suivez les instructions figurant dans la section précédente avec les modifications suivantes.
Compte source :
Pour autoriser l'accès au compte cible depuis la console Lake Formation, sélectionnez les tables individuelles au lieu de sélectionner la base de données.
Compte cible :
- Acceptez le partage de ressources dans la console AWS RAM pour accéder à la table partagée dans la console Lake Formation.
- Créez un lien de ressource pour la table partagée. Une fois le lien de ressource créé, vous pouvez interroger la table partagée avec l'accès administrateur du lac de données.
- Pour accorder l'accès aux utilisateurs/principaux IAM pour la table partagée, vous devez accorder des autorisations pour le lien de ressource.
Examiner les considérations supplémentaires
- Lorsque vous accordez des autorisations sur la table, vous pouvez restreindre l'accès uniquement aux colonnes spécifiques de la table. Dans ce cas, le compte cible ne peut afficher que ces colonnes dans la table partagée.
- Assurez-vous que les utilisateurs/principaux IAM du compte cible ont accès au chemin Amazon Simple Storage Service (Amazon S3) dans le compte source.
- Si vous révoquez les autorisations accordées précédemment depuis le compte source, le compte cible ne peut pas accéder à la base de données/table partagée. Cependant, le lien de ressource que vous avez créé dans le compte cible n'est pas automatiquement supprimé. Vous devez supprimer manuellement le lien de ressource.
- Lorsque vous supprimez une base de données/table, les partages de ressources dans la RAM AWS ne sont pas supprimés automatiquement. Par conséquent, vous devez révoquer manuellement les autorisations intercompte avant de supprimer une base de données ou une table partagée.
Informations connexes
Affichage de tables et de bases de données partagées du catalogue de données
Création de liens de ressources
Octroi d'autorisations de localisation des données (compte externe)
Octroi et révocation d'autorisations sur les ressources du catalogue de données
Comment fonctionne la fonctionnalité intercompte d'AWS Lake Formation

Contenus pertinents
- demandé il y a un anlg...
- demandé il y a un moislg...
- demandé il y a un anlg...
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a 2 mois