跨账户访问先决条件 - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨账户访问先决条件

在您 AWS 账户可以共享 Data Catalog 数据库和表格(Data Catalog 资源),在您访问与您的帐户共享的资源之前,必须满足以下先决条件:

  • 如果您正在使用 AWS Glue Data Catalog 资源策略,并且您希望使用 Lake Formation,您必须删除策略或向其添加新跨帐户授予所需的权限。有关更多信息,请参阅使用两者管理跨客户权限 AWS Glue 和 Lake Formation

  • 在授予跨帐户权限之前, Data Catalog 资源,您必须撤消所有 Lake Formation 权限 IAMAllowedPrincipals 组。有关更多信息,请参阅撤销 Data Catalog 权限(同一帐户)

  • 对于 Data Catalog 包含要共享的表的数据库,您必须防止新表默认授予 SuperIAMAllowedPrincipals。在 Lake Formation 控制台,编辑数据库和 关闭 仅对此数据库中的新表使用IAM访问控制. 或者,输入以下信息 AWS CLI 命令,替换 <database> 具有数据库的名称。

    aws glue update-database --name <database> --database-input '{"Name":"<database>","CreateTableDefaultPermissions":[]}'

    此外 用于您希望外部客户创建表格的数据库,请确保此设置已关闭。

  • 如果您想分享 Data Catalog 资源,则必须在 AWS RAM.

    有关如何启用与组织共享的信息,请参阅 启用与AWS组织共享AWS RAM 用户指南.

    您必须拥有 ram:EnableSharingWithAwsOrganization 启用与组织共享的权限。

  • 您无法授予对已加密数据库或表的跨帐户访问权限—在加密 Data Catalog—如果您不具备权限 Data Catalog 加密密钥。

  • 想要授予跨帐户权限的用户必须具有所需的 AWS Identity and Access Management (人IAM)权限 AWS Glue 和 AWS Resource Access Manager (人AWS RAM)服务。 Lake Formation 使用 AWS RAM 分享 Data Catalog 资源。

    AWS管理策略 AWSLakeFormationCrossAccountManager 使用户能够共享 Data Catalog 资源。

    接收共享资源的帐户中的数据湖管理员必须具有以下附加政策。它允许管理员接受 AWS RAM 资源共享邀请。它还允许管理员启用与组织的资源共享。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ram:AcceptResourceShareInvitation", "ram:RejectResourceShareInvitation", "ec2:DescribeAvailabilityZones", "ram:EnableSharingWithAwsOrganization" ], "Resource": "*" } ] }
  • 当您使用 AWS Glue 爬网器爬网 Amazon S3 另一个帐户中的位置并将生成的表保存在另一个帐户中的数据库中。S3bucket必须具有bucket策略,以便向爬网员角色授予bucket权限。