使用 Amazon Glue 和 Lake Formation 管理跨账户权限。 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon Glue 和 Lake Formation 管理跨账户权限。

可以使用 Amazon Glue 或 Amazon Lake Formation 授予对数据目录资源和基础数据的跨账户访问权限。

在 Amazon Glue 中,您可以通过创建或更新数据目录资源策略来授予跨账户权限。在 Lake Formation 中,您可以使用 Lake Formation GRANT/REVOKE 权限模型和 Grant Permissions API 操作来授予跨账户权限。

提示

我们建议仅依靠 Lake Formation 权限来保护您的数据湖。

您可以使用 Lake Formation 控制台查看 Lake Formation 跨账户授权,或者对于使用命名资源方法进行的授权,可以使用 Amazon Resource Access Manager (Amazon RAM) 控制台查看 Lake Formation 跨账户授权。但是,这些控制台页面不显示通过 Amazon Glue 数据目录资源策略授予的跨账户权限。同样,您可以使用 Amazon Glue 控制台的设置页面在数据目录资源策略中查看跨账户授权,但该页面不显示使用 Lake Formation 授予的跨账户权限。

为了确保您在查看和管理跨账户权限时不会错过任何授权,Lake Formation 和 Amazon Glue 会要求您执行以下操作,以表明您知道并将允许 Lake Formation 和 Amazon Glue 进行跨账户授权。

使用 Amazon Glue 数据目录资源策略授予跨账户权限时

如果您的账户没有使用命名资源方法(使用 Amazon RAM 共享资源)进行跨账户授权,则可以照常在 Amazon Glue 中保存数据目录资源策略。但是,如果已经进行了涉及 Amazon RAM 资源共享的授权,则必须执行以下操作之一,以确保成功保存资源策略:

  • 当您在 Amazon Glue 控制台的设置 页面上保存资源策略时,控制台会发出警报,指出除了使用 Lake Formation 控制台授予的任何权限之外,还将授予该策略中的权限。必须选择继续才能保存该策略。

  • 使用 glue:PutResourcePolicy API 操作保存资源策略时,必须将 EnableHybrid 字段设置为“TRUE”(类型 = 字符串)。以下代码示例演示如何在 Python 中执行此操作。

    import boto3 import json REGION = 'us-east-2' PRODUCER_ACCOUNT_ID = '123456789012' CONSUMER_ACCOUNT_IDs = ['111122223333'] glue = glue_client = boto3.client('glue') policy = { "Version": "2012-10-17", "Statement": [ { "Sid": "Cataloguers", "Effect": "Allow", "Action": [ "glue:*" ], "Principal": { "AWS": CONSUMER_ACCOUNT_IDs }, "Resource": [ f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:catalog", f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:database/*", f"arn:aws:glue:{REGION}:{PRODUCER_ACCOUNT_ID}:table/*/*" ] } ] } policy = json.dumps(policy) glue.put_resource_policy(PolicyInJson=policy, EnableHybrid='TRUE')

    有关更多信息,请参阅PutResourcePolicy 《开发者指南》中的操作(Python:put_resource_policy)。Amazon Glue

使用 Lake Formation 命名资源方法授予跨账户权限时

如果您的账户中没有数据目录资源策略,您进行的 Lake Formation 跨账户授权将照常进行。但是,如果存在数据目录资源策略,则必须在其中添加以下语句,以确保使用命名资源方法进行的跨账户授权成功完成。将 <region> 替换为有效的区域名称,并将 <account-id> 替换为 Amazon 账户 ID。

{ "Effect": "Allow", "Action": [ "glue:ShareResource" ], "Principal": {"Service": [ "ram.amazonaws.com" ]}, "Resource": [ "arn:aws:glue:<region>:<account-id>:table/*/*", "arn:aws:glue:<region>:<account-id>:database/*", "arn:aws:glue:<region>:<account-id>:catalog" ] }

如果没有这条额外的语句,Lake Formation 授权会成功完成,但会被封锁在 Amazon RAM 中,接收方账户将无法访问被授权使用的资源。

重要

使用 Lake Formation 基于标签的访问控制 (LF-TBAC) 方法进行跨账户授权时,您的数据目录资源策略必须至少含有先决条件中指定的权限。

另请参见: