本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
更新跨账户数据共享版本设置
不时 Amazon Lake Formation 更新跨账户数据共享设置,以区分对 Amazon RAM 使用情况所做的更改,并支持对跨账户数据共享功能所做的更新。当 Lake Formation 执行此操作时,它会创建新版本的跨账户版本设置。
跨账户版本设置之间的主要区别
有关如何在不同跨账户版本设置下进行跨账户数据共享的更多信息,请参阅以下章节。
注意
要与其他账户共享数据,授予者必须拥有 AWSLakeFormationCrossAccountManager
托管 IAM 策略权限。这是所有版本的先决条件。
更新跨账户版本设置不会影响接收方对共享资源的权限。这适用于从版本 1 更新为版本 2、从版本 2 更新为版本 3 以及从版本 1 更新为版本 3 的情况。更新版本时,请参阅下面列出的注意事项。
- 版本 1
-
命名资源方法:将授予的每个跨账户 Lake Formation 权限映射到一个 Amazon RAM 资源共享。用户(授予者角色或主体)不需要其他权限。
LF-TBAC 方法:跨账户 Lake Formation 权限授予不 Amazon RAM 用于共享数据。您必须拥有
glue:PutResourcePolicy
权限。更新版本的好处:初始版本 - 不适用。
更新版本时的注意事项:初始版本 - 不适用
- 版本 2
-
命名资源方法:通过将多个跨账户权限授予映射到一个 Amazon RAM 资源共享来优化 Amazon RAM 资源共享的数量。用户不需要额外的权限。
LF-TBAC 方法:跨账户 Lake Formation 权限授予不 Amazon RAM 用于共享数据。您必须拥有
glue:PutResourcePolicy
权限。更新版本的好处:通过优化 Amazon RAM 容量利用率实现可扩展的跨账户设置。
更新版本时的注意事项:想要授予跨账户 Lake Formation 权限的用户必须拥有
AWSLakeFormationCrossAccountManager
Amazon 托管策略中的权限。否则,您需要拥有ram:AssociateResourceShare
和ram:DisassociateResourceShare
权限才能成功与其他账户共享资源。 - 版本 3
-
命名资源方法:通过将多个跨账户权限授予映射到一个 Amazon RAM 资源共享来优化 Amazon RAM 资源共享的数量。用户不需要额外的权限。
LF-TBAC 方法:Lake Formation 用于 Amazon RAM 跨账户拨款。用户必须在
glue:PutResourcePolicy
权限中添加 glue: ShareResource 语句。收件人必须接受来自的资源共享邀请 Amazon RAM。更新版本的好处:支持以下功能:
允许与外部账户中的 IAM 主体显式共享资源。
有关更多信息,请参阅 授予和撤销对数据目录资源的权限。
使用 LF-TBAC 方法为组织或组织单位 (OU) 启用跨账户共享。
消除了维护跨账户授予额外 Amazon Glue 政策的开销。
更新版本时的注意事项:当您使用 LF-TBAC 方法共享资源时,如果授予者使用的版本低于版本 3,而接收者使用的是版本 3 或更高版本,则授予者会收到以下错误消息:“跨账户授权请求无效。使用者账户可以选择使用跨账户版本:v3。请更新
CrossAccountVersion
DataLakeSetting
至最低版本 v3(服务: AmazonDataCatalog;状态码:400;错误代码: InvalidInputException)”。但是,如果授予者使用版本 3,而接收者使用的是版本 1 或版本 2,则使用 LF-tag 的跨账户授权将成功通过。使用指定资源方法进行的跨账户授权在不同版本之间兼容。即使设保人账户使用的是旧版本(版本 1 或 2),而收款人账户使用的是较新的版本(版本 3 或更高版本),跨账户访问功能也可以无缝运行,不会出现任何兼容性问题或错误。
要直接与其他账户中的 IAM 主体共享资源,只有授予者需要使用版本 3。
使用 LF-TBAC 方法进行的跨账户授权要求用户的账户中具有 Amazon Glue Data Catalog 资源策略。当您更新为版本 3 时,LF-TBAC 会授权使用 Amazon RAM。要允许 Amazon RAM 基于跨账户的授予成功,您必须将该
glue:ShareResource
声明添加到现有的 Data Catalog 资源策略中,如使用 Amazon Glue 和 Lake Formation 管理跨账户权限。部分所示。 - 版本 4
-
授予者需要版本 4 或更高版本才能在混合访问模式下共享数据目录资源。
优化 Amazon RAM 资源共享
跨账户赠款的新版本(第 2 版及更高版本)以最佳方式利用 Amazon RAM 容量来最大限度地提高跨账户使用率。当您与外部 Amazon Web Services 账户 或 IAM 委托人共享资源时,Lake Formation 可能会创建新的资源共享或将资源与现有共享关联。通过与现有共享关联,Lake Formation 减少了用户需要接受的资源共享邀请的数量。
通过 TBAC 启用 Amazon RAM 共享或直接与委托人共享资源
要直接与其他账户中的 IAM 主体共享资源或者为组织或组织单位启用 TBAC 跨账户共享,您需要将跨账户版本设置更新为版本 3。有关 Amazon RAM 资源限制的更多信息,请参阅跨账户数据共享最佳实践和注意事项。
更新跨账户版本设置所需的权限
如果跨账户权限授予者拥有 AWSLakeFormationCrossAccountManager
托管 IAM 策略权限,则无需为跨账户权限授予者角色或主体进行额外的权限设置。但是,如果跨账户授予者未使用托管策略,则授予者角色或主体应授予以下 IAM 权限,新版本的跨账户授权才能成功完成。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:GetResourceShares" ], "Resource": "*", "Condition": { "StringLike": { "ram:ResourceShareName": "LakeFormation*" } } } ] }
启用新版本
按照以下步骤通过 Amazon Lake Formation控制台或更新跨账户版本设置 Amazon CLI。
重要
选择版本 2 或版本 3 后,所有新的命名资源授权都将通过新的跨账户授权模式进行。为了以最佳方式使用现有跨账户共享的 Amazon RAM 容量,我们建议您撤销旧版本的授权,并在新模式下重新授权。