跨账户版本设置之间的主要区别优化 Amazon RAM 资源共享通过 TBAC 启用 Amazon RAM 共享或直接与委托人共享资源启用新版本

更新跨账户数据共享版本设置

不时 Amazon Lake Formation 更新跨账户数据共享设置，以区分对 Amazon RAM 使用情况所做的更改，并支持对跨账户数据共享功能所做的更新。当 Lake Formation 执行此操作时，它会创建新版本的跨账户版本设置。

跨账户版本设置之间的主要区别

有关如何在不同跨账户版本设置下进行跨账户数据共享的更多信息，请参阅以下章节。

注意

要与其他账户共享数据，授予者必须拥有 AWSLakeFormationCrossAccountManager 托管 IAM 策略权限。这是所有版本的先决条件。

更新跨账户版本设置不会影响接收方对共享资源的权限。这适用于从版本 1 更新为版本 2、从版本 2 更新为版本 3 以及从版本 1 更新为版本 3 的情况。更新版本时，请参阅下面列出的注意事项。

版本 1

命名资源方法：将授予的每个跨账户 Lake Formation 权限映射到一个 Amazon RAM 资源共享。用户（授予者角色或主体）不需要其他权限。

LF-TBAC 方法：跨账户 Lake Formation 权限授予不 Amazon RAM 用于共享数据。您必须拥有 glue:PutResourcePolicy 权限。

更新版本的好处：初始版本 - 不适用。

更新版本时的注意事项：初始版本 - 不适用

版本 2

命名资源方法：通过将多个跨账户权限授予映射到一个 Amazon RAM 资源共享来优化 Amazon RAM 资源共享的数量。用户不需要额外的权限。

LF-TBAC 方法：跨账户 Lake Formation 权限授予不 Amazon RAM 用于共享数据。您必须拥有 glue:PutResourcePolicy 权限。

更新版本的好处：通过优化 Amazon RAM 容量利用率实现可扩展的跨账户设置。

更新版本时的注意事项：想要授予跨账户 Lake Formation 权限的用户必须拥有AWSLakeFormationCrossAccountManager Amazon 托管策略中的权限。否则，您需要拥有 ram:AssociateResourceShare 和 ram:DisassociateResourceShare 权限才能成功与其他账户共享资源。

版本 3

命名资源方法：通过将多个跨账户权限授予映射到一个 Amazon RAM 资源共享来优化 Amazon RAM 资源共享的数量。用户不需要额外的权限。

LF-TBAC 方法：Lake Formation 用于 Amazon RAM 跨账户拨款。用户必须在glue:PutResourcePolicy权限中添加 glue: ShareResource 语句。收件人必须接受来自的资源共享邀请 Amazon RAM。

更新版本的好处：支持以下功能：

允许与外部账户中的 IAM 主体显式共享资源。

有关更多信息，请参阅授予对数据目录资源的权限。
使用 LF-TBAC 方法向 Organizations 或组织单位 () 启用跨账户共享。OUs
消除了维护跨账户授予额外 Amazon Glue 政策的开销。

更新版本时的注意事项：使用 LF-TBAC 方法共享资源时，如果授予者使用的版本低于版本 3，而接收者使用的是版本 3 或更高版本，则授予者会收到以下错误信息：“跨账户授权请求无效。使用者账户可以选择使用跨账户版本：v3。请更新CrossAccountVersionDataLakeSetting至最低版本 v3（服务： AmazonDataCatalog；状态码：400；错误代码： InvalidInputException）”。但是，如果授予者使用版本 3，而接收者使用版本 1 或版本 2，那么使用 LF-Tags 的跨账户授权就会成功完成。

使用命名资源方法进行的跨账户授权在不同版本之间是兼容的。即使授予者账户使用的是旧版本（版本 1 或 2），而接收者账户使用的是新版本（版本 3 或更高版本），跨账户访问功能也能无缝运行，不会出现任何兼容性问题或错误。

要直接与其他账户中的 IAM 主体共享资源，只有授予者需要使用版本 3。

使用 LF-TBAC 方法进行的跨账户授权要求用户的账户中具有 Amazon Glue Data Catalog 资源策略。当您更新为版本 3 时，LF-TBAC 会授权使用 Amazon RAM。要允许 Amazon RAM 基于跨账户的授予成功，您必须将该glue:ShareResource声明添加到现有的 Data Catalog 资源策略中，如同时使用两者管理跨账户权限 Amazon Glue 和 Lake Formation部分所示。

版本 4

授予者需要版本 4 或更高版本才能在混合访问模式下共享数据目录资源或共享联合目录中的对象。

优化 Amazon RAM 资源共享

跨账户赠款的新版本（第 2 版及更高版本）以最佳方式利用 Amazon RAM 容量来最大限度地提高跨账户使用率。当您与外部 Amazon Web Services 账户或 IAM 委托人共享资源时，Lake Formation 可能会创建新的资源共享或将该资源与现有共享关联。通过与现有共享关联，Lake Formation 减少了用户需要接受的资源共享邀请的数量。

通过 TBAC 启用 Amazon RAM 共享或直接与委托人共享资源

要直接与其他账户中的 IAM 主体共享资源或者为组织或组织单位启用 TBAC 跨账户共享，您需要将跨账户版本设置更新为版本 3。有关 Amazon RAM 资源限制的更多信息，请参阅跨账户数据共享最佳实践和注意事项。

更新跨账户版本设置所需的权限

如果跨账户权限授予者拥有 AWSLakeFormationCrossAccountManager 托管 IAM 策略权限，则无需为跨账户权限授予者角色或主体进行额外的权限设置。但是，如果跨账户授予者未使用托管策略，则授予者角色或主体应授予以下 IAM 权限，新版本的跨账户授权才能成功完成。


  
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
         "ram:AssociateResourceShare",
         "ram:DisassociateResourceShare",
         "ram:GetResourceShares"
       ],
     "Resource": "*",
     "Condition": {
       "StringLike": {
         "ram:ResourceShareName": "LakeFormation*"
        }
      }
    }
  ]
}

启用新版本

按照以下步骤更新跨账户版本设置 Amazon Lake Formation 控制台或 Amazon CLI.

重要

选择版本 2 或版本 3 后，所有新的命名资源授权都将通过新的跨账户授权模式进行。为了以最佳方式使用现有跨账户共享的 Amazon RAM 容量，我们建议您撤销旧版本的授权，并在新模式下重新授权。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

先决条件

跨 Amazon Web Services 账户或来自外部账户的 IAM 主体共享数据目录表和数据库