跨账户访问权限前提条件 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨账户访问权限前提条件

在您的Amazon帐户可以共享数据目录数据库和表(数据目录资源),并且必须先满足以下先决条件,然后才能访问与您的帐户共享的资源:

  • 如果您当前使用的是Amazon GlueData Catalog 资源策略如果要使用命名资源方法授予跨账户权限,则必须删除该策略或向其添加跨账户授予所需的新权限。如果您打算使用 Lake Formation 基于标记的访问控制 (LF-TBAC) 方法,则必须具有启用 LF-TBAC 的数据目录资源策略。有关更多信息,请参阅 使用这两者来管理跨账户权限Amazon GlueLake FormatLake Formation 基于标签的访问控制跨账户先决条件

  • 在授予对数据目录资源的跨账户权限之前,您必须撤消所有 Lake Formation 权限IAMAllowedPrincipals资源的组。

  • 对于包含要共享的表的 Data Catalog 数据库,必须阻止新表的默认授予SuperIAMAllowedPrincipals. 在 Lake Formation 控制台上,编辑数据库并关闭仅对数据库中的新表使用 IAM 访问控制. 或者,输入以下内容Amazon CLI命令,替换<database>与数据库的名称结合使用。

    aws glue update-database --name <database> --database-input '{"Name":"<database>","CreateTableDefaultPermissions":[]}'

    此外,对于希望外部帐户创建表的数据库,请确保禁用此设置。

  • 如果要使用 named resources 方法与组织或组织单位共享数据目录资源,则必须在Amazon RAM.

    有关如何启用与组织共享的信息,请参阅启用与 共享AmazonOrganizations中的Amazon RAM用户指南.

    您必须具有ram:EnableSharingWithAwsOrganization允许与组织共享的权限。

  • 如果您没有数据目录加密密钥的权限,则无法授予跨账户访问加密的数据库或表(在加密数据目录中创建)的权限。

  • 想要使用 named resources 方法授予跨账户权限的用户必须具有必需的Amazon Identity and Access Management(IAM) 权限Amazon Glue和Amazon Resource Access Manager(Amazon RAM) 服务。这些区域有:Amazon管理的策略AWSLakeFormationCrossAccountManager授予所需的权限。

    如果账户中的数据湖管理员接收与命名资源方法共享的资源,则必须具有以下附加策略。它允许管理员接受Amazon RAM资源共享邀请。它还允许管理员启用与组织共享资源。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:RejectResourceShareInvitation",
                "ec2:DescribeAvailabilityZones",
                "ram:EnableSharingWithAwsOrganization"
            ],
            "Resource": "*"
        }
    ]
}

  • 接收跨账户共享的账户必须具有glue:PutResourcePolicy接受的权限接受Amazon RAM资源共享邀请.

  • 当你使用Amazon Gluecrawler 抓取另一个账户中的 Amazon S3 位置,并将生成的表保存在另一个账户的数据库中。S3 存储桶必须具有为 Crawler 角色授予对存储桶的权限的存储桶策略。

另请参阅