跨账户访问先决条件 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨账户访问先决条件

在你的前面Amazon帐户可以共享数据目录数据库和表(数据目录资源),在访问与帐户共享的资源之前,必须满足以下先决条件:

  • 如果您目前使用的是Amazon GlueData Catalog 资源策略并且要使用指定的资源方法授予跨账户权限,则必须删除策略或向其添加跨账户授予所需的新权限。如果您打算使用基于 Lake Formation 标记的访问控制 (LF-TBAC) 方法,则必须具有启用 LF-TBAC 的数据目录资源策略。有关更多信息,请参阅 使用两者管理跨账户权限Amazon Glue和 Lake Formation基 Lake Formation 标签的访问控制跨账户先决条件

  • 在授予对数据目录资源的跨账户权限之前,您必须从IAMAllowedPrincipals该资源的组。

  • 对于包含您打算共享的表的数据目录数据库,必须防止新表具有默认授权SuperIAMAllowedPrincipals. 在 Lake Formation 控制台上,编辑数据库并关闭仅对此数据库中的新表使用 IAM 访问控制. 或者,输入以下内容Amazon CLI命令,替换<database>使用数据库的名称。

    aws glue update-database --name <database> --database-input '{"Name":"<database>","CreateTableDefaultPermissions":[]}'

    此外,对于希望外部帐户创建表的数据库,请确保此设置处于关闭状态。

  • 如果要使用命名资源方法与组织或组织单位共享 Data Catalog 资源,则必须在Amazon RAM.

    有关如何启用与组织共享的信息,请参阅启用与 共享AmazonOrganizations中的Amazon RAM用户指南.

    您必须具有ram:EnableSharingWithAwsOrganization允许与组织共享。

  • 如果您对数据目录加密密钥没有权限,则无法授予对已加密的数据库或表的跨账户访问权限(该数据库或表是在加密的数据目录中创建的)。

  • 想要使用指定资源方法授予跨账户权限的用户必须具有必需的Amazon Identity and Access Management(IAM) 权限Amazon Glue和Amazon Resource Access Manager(Amazon RAM) 服务。这些区域有:Amazon管理的策略AWSLakeFormationCrossAccountManager授予所需的权限。

    接收与指定资源方法共享的资源的账户中的数据湖管理员必须具有以下附加策略。它允许管理员接受Amazon RAM资源共享邀请。它还允许管理员启用与组织共享资源。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ram:AcceptResourceShareInvitation", "ram:RejectResourceShareInvitation", "ec2:DescribeAvailabilityZones", "ram:EnableSharingWithAwsOrganization" ], "Resource": "*" } ] }
  • 收到跨账户份额的账户必须有glue:PutResourcePolicy允许接受Amazon RAM资源共享邀请。

  • 使用时还有额外的要求Amazon GlueCrawler 用于抓取另一个账户中的 Amazon S3 位置,然后将生成的表保存在另一个账户的数据库中。S3 存储桶必须具有将存储桶权限的存储桶策略授予 Crawler 角色的权限。