Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Berbagi data lintas akun di Lake Formation
<a name="cross-account-permissions"></a>

Kemampuan lintas akun Lake Formation memungkinkan pengguna untuk berbagi data lake terdistribusi dengan aman di beberapa AWS organisasi Akun AWS, atau langsung dengan prinsipal IAM di akun lain yang menyediakan akses halus ke metadata Katalog Data dan data yang mendasarinya. Perusahaan besar biasanya menggunakan beberapa Akun AWS, dan banyak dari akun tersebut mungkin memerlukan akses ke danau data yang dikelola oleh satu Akun AWS. Pengguna dan pekerjaan AWS Glue ekstrak, transformasi, dan muat (ETL) dapat melakukan kueri dan menggabungkan tabel di beberapa akun dan tetap memanfaatkan perlindungan data tingkat tabel dan tingkat kolom Lake Formation.

Saat Anda memberikan izin Lake Formation pada sumber daya Katalog Data ke akun eksternal atau langsung ke kepala IAM di akun lain, Lake Formation menggunakan layanan AWS Resource Access Manager (AWS RAM) untuk membagikan sumber daya. Jika akun penerima hibah berada di organisasi yang sama dengan akun pemberi hibah, sumber daya bersama segera tersedia untuk penerima hibah. Jika akun penerima hibah tidak berada di organisasi yang sama, AWS RAM kirimkan undangan ke akun penerima hibah untuk menerima atau menolak hibah sumber daya. Kemudian, untuk membuat sumber daya bersama tersedia, administrator data lake di akun penerima hibah harus menggunakan AWS RAM konsol atau AWS CLI untuk menerima undangan. 

 Lake Formation mendukung berbagi sumber daya Katalog Data dengan akun eksternal dalam mode akses hybrid. Mode akses hibrida memberikan fleksibilitas untuk mengaktifkan izin Lake Formation secara selektif untuk database dan tabel di situs Anda. AWS Glue Data Catalog
 Dengan mode akses Hybrid, Anda sekarang memiliki jalur tambahan yang memungkinkan Anda mengatur izin Lake Formation untuk kumpulan pengguna tertentu tanpa mengganggu kebijakan izin pengguna atau beban kerja lain yang ada.

Untuk informasi selengkapnya, lihat [Mode akses hibrid](hybrid-access-mode.md). 

**Pembagian lintas-akun langsung**  
Prinsipal resmi dapat berbagi sumber daya secara eksplisit dengan prinsipal IAM di akun eksternal. Fitur ini berguna ketika pemilik akun ingin memiliki kendali atas siapa di akun eksternal yang dapat mengakses sumber daya. Izin yang diterima oleh kepala sekolah IAM adalah gabungan hibah langsung dan hibah tingkat akun yang dialirkan ke kepala sekolah. Hanya penerima hibah izin yang dapat melihat hibah lintas akun langsung. Kepala sekolah yang menerima pembagian sumber daya tidak dapat berbagi sumber daya dengan kepala sekolah lain.

**Metode untuk berbagi sumber daya Katalog Data**  
Dengan satu operasi hibah Lake Formation, Anda dapat memberikan izin lintas akun pada sumber daya Katalog Data berikut. 
+ Database
+ Tabel individual (dengan penyaringan kolom opsional)
+ Beberapa tabel yang dipilih
+ Semua tabel dalam database (dengan menggunakan wildcard All Tables)

Ada dua opsi untuk berbagi database dan tabel Anda dengan prinsipal lain Akun AWS atau IAM di akun lain.
+ Kontrol akses berbasis tag Lake Formation (LF-TBAC) (disarankan)

  Kontrol akses berbasis tag Lake Formation adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut. Anda dapat menggunakan kontrol akses berbasis tag untuk berbagi sumber daya Katalog Data (database, tabel, dan kolom) dengan prinsipal IAM eksternal, Organizations Akun AWS, dan unit organisasi (). OUs Dalam Lake Formation, atribut ini disebut LF-tag. Untuk informasi selengkapnya, lihat [Mengelola data lake menggunakan kontrol akses berbasis tag Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/managing-dl-tutorial.html).
**catatan**  
Metode LF-TBAC untuk memberikan izin Katalog Data digunakan untuk hibah lintas akun. AWS Resource Access Manager   
Lake Formation sekarang mendukung pemberian izin lintas akun ke Organizations dan unit organisasi menggunakan metode LF-TBAC.  
Untuk mengaktifkan kemampuan ini, Anda perlu memperbarui **pengaturan versi Cross account** ke **Versi 3** atau lebih tinggi.  
Untuk informasi selengkapnya, lihat [Memperbarui pengaturan versi berbagi data lintas akun](optimize-ram.md).
+ Lake Formation bernama sumber daya

  Berbagi data lintas akun Lake Formation menggunakan metode sumber daya bernama memungkinkan Anda memberikan izin Lake Formation dengan opsi hibah pada tabel dan database Katalog Data ke eksternal Akun AWS, kepala sekolah IAM, organisasi, atau unit organisasi. Operasi hibah secara otomatis membagikan sumber daya tersebut.

**catatan**  
Anda juga dapat mengizinkan AWS Glue crawler mengakses penyimpanan data di akun lain menggunakan kredenal Lake Formation. Untuk informasi selengkapnya, lihat [Perayapan lintas akun di Panduan](https://docs.aws.amazon.com/glue/latest/dg/crawler-configuration.html#cross-account-crawling) AWS Glue Pengembang.

Layanan terintegrasi seperti Athena dan Amazon Redshift Spectrum memerlukan tautan sumber daya untuk dapat menyertakan sumber daya bersama dalam kueri. Untuk informasi selengkapnya tentang tautan sumber daya, lihat[Cara kerja tautan sumber daya di Lake Formation](resource-links-about.md).

Untuk pertimbangan dan batasan, lihat[Praktik dan pertimbangan terbaik berbagi data lintas akun](cross-account-notes.md).

**Topics**
+ [Prasyarat](cross-account-prereqs.md)
+ [Memperbarui pengaturan versi berbagi data lintas akun](optimize-ram.md)
+ [Berbagi tabel Katalog Data dan database di seluruh Akun AWS atau prinsip-prinsip IAM dari akun eksternal](cross-account-data-share-steps.md)
+ [Memberikan izin pada database atau tabel yang dibagikan dengan akun Anda](regranting-shared-resources.md)
+ [Memberikan izin tautan sumber daya](granting-link-permissions.md)
+ [Mengakses data dasar tabel bersama](cross-account-read-data.md)
+ [Pencatatan lintas akun CloudTrail](cross-account-logging.md)
+ [Mengelola izin lintas akun menggunakan keduanya AWS Glue dan Lake Formation](hybrid-cross-account.md)
+ [Melihat semua hibah lintas akun menggunakan operasi API GetResourceShares](cross-account-getresourcepolicies.md)

**Topik terkait**  
[Ikhtisar izin Lake Formation](lf-permissions-overview.md)
[Mengakses dan melihat tabel dan database Katalog Data bersama](viewing-shared-resources.md)
[Membuat tautan sumber daya](creating-resource-links.md)
[Memecahkan masalah akses lintas akun](troubleshooting.md#trouble-cross-account)

# Prasyarat
<a name="cross-account-prereqs"></a>

Sebelum AWS akun Anda dapat membagikan sumber daya Katalog Data (katalog, database, dan tabel) dengan akun atau kepala sekolah lain di akun lain, dan sebelum Anda dapat mengakses sumber daya yang dibagikan dengan akun Anda, prasyarat berikut harus dipenuhi.

**Persyaratan berbagi data lintas akun umum**
+ **Untuk berbagi database dan tabel Katalog Data dalam mode akses hibrida dan berbagi objek dalam katalog federasi, Anda perlu memperbarui **pengaturan versi Cross account ke Versi 4**.**
+ Sebelum memberikan izin lintas akun pada sumber daya Katalog Data, Anda harus mencabut semua izin Lake Formation dari `IAMAllowedPrincipals` grup untuk sumber daya tersebut. Jika prinsipal panggilan memiliki izin lintas akun untuk mengakses sumber daya dan `IAMAllowedPrincipals` izin ada di sumber daya, maka Lake Formation melempar`AccessDeniedException`. 

  Persyaratan ini hanya berlaku ketika Anda mendaftarkan lokasi data yang mendasarinya dalam mode Lake Formation. Jika Anda mendaftarkan lokasi data dalam mode hibrida, izin `IAMAllowedPrincipals` grup dapat ada di database atau tabel bersama. 
+  Untuk database yang berisi tabel yang ingin Anda bagikan, Anda harus mencegah tabel baru memiliki hibah default `Super` to`IAMAllowedPrincipals`. Pada konsol Lake Formation, edit database dan matikan **Gunakan hanya kontrol akses IAM untuk tabel baru dalam database ini** atau masukkan AWS CLI perintah berikut, ganti `database` dengan nama database. Jika lokasi data yang mendasari terdaftar dalam mode akses hybrid, Anda tidak perlu mengubah pengaturan default ini. Dalam mode akses hybrid, Lake Formation memungkinkan Anda untuk secara selektif menerapkan izin Lake Formation dan kebijakan izin IAM untuk Amazon S3 dan pada sumber daya yang sama. AWS Glue 

  ```
  aws glue update-database --name database --database-input '{"Name":"database","CreateTableDefaultPermissions":[]}'
  ```
+ Untuk memberikan izin lintas akun, pemberi harus memiliki izin dan layanan yang diperlukan AWS Identity and Access Management (IAM). AWS Glue AWS RAM Kebijakan AWS terkelola `AWSLakeFormationCrossAccountManager` memberikan izin yang diperlukan.

  Administrator data lake di akun yang menerima pembagian sumber daya menggunakan AWS RAM harus memiliki kebijakan tambahan berikut. Hal ini memungkinkan administrator untuk menerima undangan berbagi AWS RAM sumber daya. Ini juga memungkinkan administrator untuk mengaktifkan berbagi sumber daya dengan organisasi.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "ram:AcceptResourceShareInvitation",
                  "ram:RejectResourceShareInvitation",
                  "ec2:DescribeAvailabilityZones",
                  "ram:EnableSharingWithAwsOrganization"
              ],
              "Resource": "*"
          }
      ]
  }
  ```

------
+ Jika Anda ingin berbagi sumber daya Katalog Data dengan AWS Organizations atau unit organisasi, berbagi dengan organisasi harus diaktifkan AWS RAM.

  Untuk informasi tentang cara mengaktifkan berbagi dengan organisasi, lihat [Mengaktifkan berbagi dengan AWS organisasi](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) di *Panduan AWS RAM Pengguna*.

  Anda harus memiliki `ram:EnableSharingWithAwsOrganization` izin untuk mengaktifkan berbagi dengan organisasi.
+ Untuk berbagi sumber daya secara langsung dengan prinsipal IAM di akun lain, Anda perlu memperbarui **pengaturan versi Cross account** ke **Versi 3**. Pengaturan ini tersedia di halaman **Pengaturan katalog data**. Jika Anda menggunakan **Versi 1**, lihat petunjuk untuk memperbarui pengaturan[Memperbarui pengaturan versi berbagi data lintas akun](optimize-ram.md).
+ Anda tidak dapat membagikan sumber daya Katalog Data yang dienkripsi dengan kunci terkelola AWS Glue layanan dengan akun lain. Anda hanya dapat membagikan sumber daya Katalog Data yang dienkripsi dengan kunci enkripsi pelanggan, dan akun yang menerima pembagian sumber daya harus memiliki izin pada kunci enkripsi Katalog Data untuk mendekripsi objek.

**Berbagi data lintas akun menggunakan persyaratan LF-TBAC**
+  Untuk berbagi sumber daya Katalog Data dengan AWS Organizations dan unit organisasi (OUs), Anda perlu memperbarui **setelan versi Cross account** ke **Versi 3** atau lebih tinggi. 
+ Untuk membagikan sumber daya Katalog Data dengan versi 3 dari **setelan versi Cross account**, pemberi harus memiliki izin IAM yang ditentukan dalam kebijakan AWS `AWSLakeFormationCrossAccountManager` terkelola di akun Anda.
+ Jika Anda menggunakan versi 1 atau versi 2 dari **pengaturan versi Cross account**, Anda harus memiliki kebijakan sumber daya Katalog Data (`glue:PutResourcePolicy`) yang mengaktifkan LF-TBAC. Untuk informasi selengkapnya, lihat [Mengelola izin lintas akun menggunakan keduanya AWS Glue dan Lake Formation](hybrid-cross-account.md).
+ Jika saat ini Anda menggunakan kebijakan sumber daya Katalog AWS Glue Data untuk berbagi sumber daya, dan Anda ingin memberikan izin lintas akun menggunakan versi 3 dari **setelan versi Cross account**, Anda harus menambahkan `glue:ShareResource` izin di Pengaturan Katalog Data menggunakan operasi `glue:PutResourcePolicy` API seperti yang ditunjukkan di bagian[Mengelola izin lintas akun menggunakan keduanya AWS Glue dan Lake Formation](hybrid-cross-account.md). Kebijakan ini tidak diperlukan jika akun Anda tidak membuat hibah lintas akun menggunakan kebijakan sumber daya Katalog AWS Glue Data (`glue:PutResourcePolicy`izin penggunaan versi 1 dan versi 2) untuk memberikan akses lintas akun. 

  ```
  {
        "Effect": "Allow",
        "Action": [
          "glue:ShareResource"
        ],
        "Principal": {"Service": [
          "ram.amazonaws.com"
        ]},
        "Resource": [
          "arn:aws:glue:<region>:<account-id>:table/*/*",
          "arn:aws:glue:<region>:<account-id>:database/*",
          "arn:aws:glue:<region>:<account-id>:catalog"
        ]
      }
  ```
+ Jika akun Anda telah membuat pembagian lintas akun menggunakan kebijakan sumber daya Katalog AWS Glue Data, dan saat ini Anda menggunakan metode sumber daya bernama atau LF-TBAC dengan **setelan Cross account** versi 3 untuk berbagi sumber daya, yang digunakan AWS RAM untuk berbagi sumber daya, Anda harus menyetel `EnableHybrid` argumen `'true'` saat menjalankan operasi API. `glue:PutResourcePolicy` Untuk informasi selengkapnya, lihat [Mengelola izin lintas akun menggunakan keduanya AWS Glue dan Lake Formation](hybrid-cross-account.md).

**Penyiapan diperlukan di setiap akun yang mengakses sumber daya bersama**
+ Jika Anda berbagi sumber daya dengan Akun AWS, setidaknya satu pengguna di akun konsumen harus menjadi administrator data lake untuk melihat sumber daya bersama. Untuk informasi tentang cara membuat administrator data lake, lihat[Buat administrator danau data](initial-lf-config.md#create-data-lake-admin).

  Administrator data lake dapat memberikan izin Lake Formation pada sumber daya bersama ke kepala sekolah lain di akun. Prinsipal lain tidak dapat mengakses sumber daya bersama sampai administrator data lake memberi mereka izin pada sumber daya.
+ Layanan terintegrasi seperti Athena dan Redshift Spectrum memerlukan tautan sumber daya untuk dapat menyertakan sumber daya bersama dalam kueri. Prinsipal perlu membuat tautan sumber daya di Katalog Data mereka ke sumber daya bersama dari yang lain. Akun AWS Untuk informasi selengkapnya tentang tautan sumber daya, lihat[Cara kerja tautan sumber daya di Lake Formation](resource-links-about.md).
+ Ketika sumber daya dibagikan langsung dengan prinsipal IAM, untuk menanyakan tabel menggunakan Athena, prinsipal perlu membuat tautan sumber daya. Untuk membuat tautan sumber daya, kepala sekolah memerlukan Formasi Danau `CREATE_TABLE` atau `CREATE_DATABASE` izin, dan izin `glue:CreateTable` atau `glue:CreateDatabase` IAM.

  Jika akun produsen berbagi tabel yang berbeda di bawah database yang sama dengan prinsipal yang sama atau lainnya, prinsipal tersebut dapat segera menanyakan tabel tersebut.

**catatan**  
Untuk administrator data lake dan untuk prinsipal yang telah diberikan izin oleh administrator danau data, sumber daya bersama muncul di Katalog Data seolah-olah sumber daya lokal (dimiliki). Pekerjaan ekstrak, transformasi, dan muat (ETL) dapat mengakses data dasar sumber daya bersama.  
Untuk sumber daya bersama, halaman **Tabel** dan **Database** di konsol Lake Formation menampilkan ID akun pemilik.  
Saat data dasar sumber daya bersama diakses, peristiwa CloudTrail log dibuat di akun penerima sumber daya bersama dan akun pemilik sumber daya. CloudTrail Peristiwa dapat berisi ARN dari prinsipal yang mengakses data, tetapi hanya jika akun penerima memilih untuk memasukkan ARN utama dalam log. Untuk informasi selengkapnya, lihat [Pencatatan lintas akun CloudTrail](cross-account-logging.md).

# Memperbarui pengaturan versi berbagi data lintas akun
<a name="optimize-ram"></a>

 Dari waktu ke waktu, AWS Lake Formation memperbarui pengaturan berbagi data lintas akun untuk membedakan perubahan yang dilakukan pada AWS RAM penggunaan dan untuk mendukung pembaruan yang dilakukan pada fitur berbagi data lintas akun. Ketika Lake Formation melakukan ini, itu membuat versi baru dari **pengaturan versi akun Cross**. 

## Perbedaan utama antara pengaturan versi lintas akun
<a name="cross-account-version-diff"></a>

Untuk informasi selengkapnya tentang cara kerja berbagi data lintas akun di bawah **pengaturan versi Cross account** yang berbeda, lihat bagian berikut.

**catatan**  
Untuk berbagi data dengan akun lain, pemberi harus memiliki izin kebijakan IAM yang `AWSLakeFormationCrossAccountManager` dikelola. Ini adalah prasyarat untuk semua versi.  
Memperbarui **pengaturan versi Cross account** tidak memengaruhi izin yang dimiliki penerima pada sumber daya bersama. Ini berlaku saat memperbarui dari versi 1 ke versi 2, versi 2 ke versi 3, dan versi 1 ke versi 3. Lihat pertimbangan yang tercantum di bawah ini saat memperbarui versi. 

**Versi 1**  
*Metode sumber daya bernama:* Memetakan setiap hibah izin Lake Formation lintas akun ke satu pembagian AWS RAM sumber daya. Pengguna (peran pemberi atau prinsipal) tidak memerlukan izin tambahan.  
*Metode LF-TBAC: Hibah izin Lake Formation lintas akun* tidak digunakan untuk berbagi data. AWS RAM Pengguna harus memiliki `glue:PutResourcePolicy` izin.  
*Manfaat dari memperbarui versi:* Versi awal - tidak berlaku.  
*Pertimbangan saat memperbarui versi:* Versi awal - tidak berlaku

**Versi 2**  
*Metode sumber daya bernama:* Mengoptimalkan jumlah pembagian AWS RAM sumber daya dengan memetakan beberapa hibah izin lintas akun dengan satu pembagian sumber daya. AWS RAM Pengguna tidak memerlukan izin tambahan.  
*Metode LF-TBAC: Hibah izin Lake Formation lintas akun* tidak digunakan untuk berbagi data. AWS RAM Pengguna harus memiliki `glue:PutResourcePolicy` izin.  
*Manfaat dari memperbarui versi:* Penyiapan lintas akun yang dapat diskalakan dengan pemanfaatan kapasitas yang optimal. AWS RAM   
*Pertimbangan saat memperbarui versi:* Pengguna yang ingin memberikan izin Lake Formation lintas akun harus memiliki izin dalam kebijakan terkelola. `AWSLakeFormationCrossAccountManager` AWS Jika tidak, Anda harus memiliki `ram:AssociateResourceShare` dan `ram:DisassociateResourceShare` izin untuk berhasil berbagi sumber daya dengan akun lain.

**Versi 3**  
*Metode sumber daya bernama:* Mengoptimalkan jumlah pembagian AWS RAM sumber daya dengan memetakan beberapa hibah izin lintas akun dengan satu pembagian sumber daya. AWS RAM Pengguna tidak memerlukan izin tambahan.  
*Metode LF-TBAC: Lake Formation* digunakan AWS RAM untuk hibah lintas akun. Pengguna harus menambahkan lem: ShareResource pernyataan untuk `glue:PutResourcePolicy` izin. Penerima harus menerima undangan berbagi sumber daya dari. AWS RAM  
*Manfaat dari memperbarui versi:* Mendukung kemampuan berikut:  
+ Memungkinkan berbagi sumber daya secara eksplisit dengan prinsipal IAM di akun eksternal.

  Untuk informasi selengkapnya, lihat [Memberikan izin pada sumber daya Katalog Data](granting-catalog-permissions.md).
+ Memungkinkan saham lintas akun menggunakan metode LF-TBAC ke Organizations atau unit organisasi (). OUs
+ Menghapus overhead pemeliharaan AWS Glue kebijakan tambahan untuk hibah lintas akun.
*Pertimbangan saat memperbarui versi:* Saat Anda menggunakan metode LF-TBAC untuk berbagi sumber daya, jika pemberi menggunakan versi yang lebih rendah dari versi 3, dan penerima menggunakan versi 3 atau lebih tinggi, pemberi menerima pesan galat berikut: “Permintaan hibah lintas akun tidak valid. Akun konsumen memiliki opt-in untuk versi lintas akun: v3. Harap `CrossAccountVersion` perbarui `DataLakeSetting` ke versi minimal v3 (Layanan: AmazonDataCatalog; Kode Status: 400; Kode Kesalahan: InvalidInputException)”. Namun, jika pemberi menggunakan versi 3 dan penerima menggunakan versi 1 atau versi 2, hibah lintas akun menggunakan LF-tag berhasil.  
Hibah lintas akun yang dibuat menggunakan metode sumber daya bernama kompatibel di berbagai versi. Bahkan jika akun pemberi menggunakan versi yang lebih lama (versi 1 atau 2) dan akun penerima menggunakan versi yang lebih baru (versi 3 atau lebih tinggi), fungsi akses lintas akun beroperasi dengan mulus tanpa masalah kompatibilitas atau kesalahan.  
Untuk berbagi sumber daya secara langsung dengan kepala sekolah IAM di akun lain, hanya pemberi yang perlu menggunakan versi 3.  
Hibah lintas akun yang dibuat menggunakan metode LF-TBAC mengharuskan pengguna untuk memiliki kebijakan sumber daya di akun AWS Glue Data Catalog . Saat Anda memperbarui ke versi 3, hibah LF-TBAC menggunakan. AWS RAM Agar hibah lintas akun AWS RAM berbasis berhasil, Anda harus menambahkan `glue:ShareResource` pernyataan ke kebijakan sumber daya Katalog Data yang ada seperti yang ditunjukkan di bagian ini[Mengelola izin lintas akun menggunakan keduanya AWS Glue dan Lake Formation](hybrid-cross-account.md). 

**Versi 4**  
Pemberi membutuhkan versi 4 atau lebih tinggi untuk berbagi sumber daya Katalog Data dalam mode akses hibrida atau berbagi objek dalam katalog federasi.

**Versi 5**  
Cross Account Versi 5 meningkatkan berbagi sumber daya lintas akun yang memungkinkan Anda berbagi jumlah tabel yang tidak terbatas ke akun lain, menghilangkan batas asosiasi sumber daya sebelumnya per jenis sumber daya. Untuk memulai, tingkatkan ke lintas akun versi 5 melalui konsol Lake Formation atau API. Setiap hibah izin lintas akun baru akan secara otomatis menggunakan pola wildcard dalam pembagian sumber daya, bukan asosiasi sumber daya individu. Semua saham lintas akun yang ada terus berfungsi, dan semua Lake Formation yang ada APIs tetap kompatibel.  
*Manfaat dari memperbarui versi:* Cross-account v5 meningkatkan berbagi lintas akun, memungkinkan Anda untuk berbagi ratusan ribu tabel di seluruh akun.  
*Pertimbangan saat memperbarui versi:* Hibah baru setelah peningkatan versi 5 akan menambahkan pola sumber daya wildcard ke pembagian sumber daya Manajer AWS Sumber Daya yang ada atau membuat pembagian baru dengan pola wildcard. Setelah ditingkatkan ke versi 5, downgrade tidak didukung.

## Optimalkan pembagian AWS RAM sumber daya
<a name="optimize-version"></a>

Versi baru (versi 2 ke atas) hibah lintas akun secara optimal memanfaatkan AWS RAM kapasitas untuk memaksimalkan penggunaan lintas akun. Saat Anda berbagi sumber daya dengan kepala eksternal Akun AWS atau IAM, Lake Formation dapat membuat pembagian sumber daya baru atau mengaitkan sumber daya dengan bagian yang ada. Dengan berasosiasi dengan saham yang ada, Lake Formation mengurangi jumlah undangan pembagian sumber daya yang harus diterima konsumen. Versi 5 lebih mengoptimalkan penggunaan RAM dengan menggunakan pola sumber daya berbasis wildcard alih-alih asosiasi sumber daya individu, sehingga secara signifikan mengurangi asosiasi sumber daya per pembagian sumber daya.

## Aktifkan AWS RAM pembagian melalui TBAC atau bagikan sumber daya langsung ke kepala sekolah
<a name="ram-tbac-direct-iam-version"></a>

Untuk berbagi sumber daya secara langsung dengan prinsipal IAM di akun lain atau untuk mengaktifkan pembagian lintas akun TBAC ke Organizations atau unit organisasi, Anda perlu memperbarui pengaturan versi **Cross** account ke versi 3. Untuk informasi selengkapnya tentang batas AWS RAM sumber daya, lihat[Praktik dan pertimbangan terbaik berbagi data lintas akun](cross-account-notes.md).

### Izin yang diperlukan untuk memperbarui pengaturan versi lintas akun
<a name="req-permissions-version-update"></a>

 Jika pemberi izin lintas akun telah `AWSLakeFormationCrossAccountManager` mengelola izin kebijakan IAM, maka tidak ada pengaturan izin tambahan yang diperlukan untuk peran pemberi izin lintas akun atau prinsipal. Namun, jika pemberi lintas akun tidak menggunakan kebijakan terkelola, maka peran pemberi atau prinsipal harus mengikuti izin IAM yang diberikan agar versi baru hibah lintas akun berhasil.

------
#### [ JSON ]

****  

```
  
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
         "ram:AssociateResourceShare",
         "ram:DisassociateResourceShare",
         "ram:GetResourceShares"
       ],
     "Resource": "*",
     "Condition": {
       "StringLike": {
         "ram:ResourceShareName": "LakeFormation*"
        }
      }
    }
  ]
}
```

------

## Untuk mengaktifkan versi baru
<a name="version-update-steps"></a>

Ikuti langkah-langkah ini untuk memperbarui **pengaturan versi Cross account** melalui AWS Lake Formation konsol atau AWS CLI.

------
#### [ Console ]

1. Pilih **Versi 2**, **Versi 3**, **Versi 4**, atau **Versi 5** di bawah **Pengaturan versi Cross account** pada halaman **Pengaturan katalog data**. Jika Anda memilih **Versi 1**, Lake Formation akan menggunakan mode berbagi sumber daya default.   
![\[Layar menunjukkan izin untuk semua LF-tag di akun.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/cross-account-version-setting.png)

1. Pilih **Simpan**.

------
#### [ AWS Command Line Interface (AWS CLI) ]

Gunakan `put-data-lake-settings` AWS CLI perintah untuk mengatur `CROSS_ACCOUNT_VERSION` parameter. Nilai yang diterima adalah 1, 2, 3, 4, dan 5.

```
aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
    "DataLakeAdmins": [
        {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/test"
        }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "Parameters": {
        "CROSS_ACCOUNT_VERSION": "3"
    }
}
```

------

**penting**  
Setelah Anda memilih **Versi 2** atau **Versi 3**, semua hibah **sumber daya bernama** baru akan melalui mode hibah lintas akun baru. Untuk menggunakan AWS RAM kapasitas secara optimal untuk saham lintas akun Anda yang ada, kami sarankan Anda untuk mencabut hibah yang dibuat dengan versi lama, dan memberikan kembali dalam mode baru.

# Berbagi tabel Katalog Data dan database di seluruh Akun AWS atau prinsip-prinsip IAM dari akun eksternal
<a name="cross-account-data-share-steps"></a>

Bagian ini mencakup petunjuk tentang cara memberikan izin lintas akun pada sumber daya Katalog Data ke AWS akun eksternal, kepala IAM, AWS organisasi, atau unit organisasi. Operasi hibah secara otomatis membagikan sumber daya tersebut. 

**Topics**
+ [Berbagi data menggunakan kontrol akses berbasis tag](cross-account-TBAC.md)
+ [Berbagi data lintas akun menggunakan metode sumber daya bernama](cross-account-named-resource.md)

# Berbagi data menggunakan kontrol akses berbasis tag
<a name="cross-account-TBAC"></a>

AWS Lake Formation kontrol akses berbasis tag (LF-TBAC) adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut. Langkah-langkah berikut menjelaskan cara memberikan izin lintas akun dengan menggunakan LF-tag. 

**Mengatur diperlukan pada producer/grantor akun**

1. Tambahkan LF-tag.

   1. Masuk ke konsol Lake Formation sebagai administrator data lake atau pembuat LF-tag.

   1. Di bilah navigasi kiri, pilih Izin, dan **LF-tag** dan **izin**.

   1. Pilih **Tambahkan LF-Tag**.

      Untuk petunjuk terperinci untuk membuat LF-tag, lihat. [Membuat LF-tag](TBAC-creating-tags.md)

1. Berikan **Jelaskan** izin and/or **Rekanan** pasangan **nilai kunci LF-tag** ke prinsipal IAM di akun atau akun eksternal Anda.

   Pemberian izin pada pasangan **nilai kunci LF-tag** memungkinkan prinsipal untuk melihat LF-tag, dan menetapkannya ke sumber daya Katalog Data (database, tabel, dan kolom).

1. Selanjutnya, administrator data lake atau kepala IAM dengan izin **Associate** dapat menetapkan LF-tag ke database, tabel, atau kolom. Untuk informasi selengkapnya, lihat [Menetapkan LF-tag ke sumber daya Katalog Data](TBAC-assigning-tags.md).

1. Selanjutnya, berikan izin data ke akun eksternal menggunakan ekspresi LF-tag. Ini memungkinkan penerima atau penerima izin untuk mengakses sumber daya Katalog Data yang ditandai dengan kunci dan nilai yang sama.

   1. Di panel navigasi, pilih Izin dan **Izin** **data**.

   1. Pilih**Izin**.

   1. Pada halaman **izin Hibah**, untuk **Prinsipal**, pilih **Akun eksternal**, dan masukkan Akun AWS ID penerima hibah atau peran IAM kepala sekolah atau Nama Sumber Daya Amazon (ARN) untuk prinsipal (ARN utama) jika membuat hibah lintas akun langsung ke prinsipal eksternal. Anda perlu menekan **Enter** setelah memasukkan ID akun.  
![\[Layar izin hibah dengan akun eksternal dan pasangan nilai kunci LF-tag ditentukan.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/cross-acct-grant-tags.png)

   1. Untuk **tag LF atau sumber katalog, pilih Sumber daya** yang **cocok dengan LF-tag** (disarankan). 

      1. **Pilih opsi **LF-tag key-value pair** atau Saved LF-tag expression.**

      1. **Jika Anda memilih, **pasangan nilai kunci LF-tag**, masukkan kunci dan nilai **LF-tag**** yang terkait dengan sumber daya Katalog Data yang dibagikan dengan akun penerima hibah. 

         Penerima hibah diberikan izin pada sumber daya Katalog Data yang diberi tag LF yang cocok dalam ekspresi LF-tag. Jika ekspresi LF-tag menentukan beberapa nilai per kunci tag, salah satu nilai tag bisa cocok. 

   1. Pilih izin tingkat database atau tingkat tabel untuk diberikan pada sumber daya yang cocok dengan ekspresi LF-tag.
**penting**  
Karena administrator data lake harus memberikan izin pada sumber daya bersama kepada prinsipal di akun penerima hibah, Anda harus selalu memberikan izin lintas akun dengan opsi hibah. 

      Untuk informasi selengkapnya, lihat [Memberikan izin LF-tag menggunakan konsol](TBAC-granting-tags-console.md).
**catatan**  
**Kepala sekolah yang menerima hibah lintas akun langsung tidak akan memiliki opsi izin yang Dapat Diberikan.**

**Mengatur diperlukan pada receiving/grantee akun**

1. Masuk ke konsol Lake Formation sebagai administrator data lake dari akun konsumen.

1.  Selanjutnya, terima bagian sumber daya di akun konsumen. 

   1.  Buka AWS RAM konsol. 

   1.  Di panel navigasi, di bawah **Dibagikan dengan saya**, pilih **Pembagian sumber daya**.

   1.  Pilih pembagian sumber daya, pilih **Terima pembagian sumber daya**. 

1. Ketika Anda berbagi sumber daya dengan akun lain, sumber daya masih milik akun produsen dan tidak terlihat dalam konsol Athena. Untuk membuat sumber daya terlihat di konsol Athena, Anda perlu membuat tautan sumber daya yang menunjuk ke sumber daya bersama. Untuk petunjuk tentang cara membuat tautan sumber daya, lihat [Membuat tautan sumber daya ke tabel Katalog Data bersama](create-resource-link-table.md) dan [Membuat tautan sumber daya ke database Katalog Data bersama](create-resource-link-database.md)

   1.  Pilih **Database** atau **Tabel** di bawah Katalog Data.

   1. Pada Databases/Tables halaman, pilih **Buat**, **tautan Sumber Daya**. 

   1. Masukkan informasi berikut untuk tautan sumber daya database:
      + **Nama tautan sumber daya** — Nama unik untuk tautan sumber daya.
      + **Katalog tujuan** - Katalog tempat Anda membuat tautan sumber daya. 
      + **Wilayah basis data bersama** — Wilayah database yang dibagikan dengan Anda jika Anda membuat tautan sumber daya di Wilayah yang berbeda.
      + **Database bersama** - Pilih database bersama.
      + **ID katalog database bersama** — Masukkan ID katalog untuk database bersama.

   1.  Pilih **Buat**. Anda dapat melihat tautan sumber daya yang baru dibuat di daftar database. 

   Demikian pula, Anda dapat membuat tautan sumber daya ke tabel bersama.

1. Sekarang berikan izin **Jelaskan** pada tautan sumber daya ke prinsipal IAM yang Anda bagikan sumber daya.

   1. **Pada halaman **Database/Tabel**, pilih tautan sumber daya, dan pada menu **Tindakan**, pilih Hibah.** 

   1. Di bagian **Hibah izin**, pilih **pengguna dan peran IAM**.

   1. Pilih peran IAM yang ingin Anda berikan akses ke tautan sumber daya.

   1. Di bagian Izin **tautan sumber daya**, pilih **Jelaskan**.

   1. Pilih**Izin**.

1. Selanjutnya, berikan **izin nilai kunci LF-tag** ke prinsipal di akun konsumen.

   Anda harus dapat menemukan LF-tag yang dibagikan dengan Anda di akun konsumen di konsol Lake Formation, di bawah Izin, **LF-tag**, dan **izin**. Anda dapat mengaitkan tag yang dibagikan dari pemberi pada sumber daya yang dibagikan dari akun pemberi yang mencakup: database, tabel, dan kolom. Anda selanjutnya dapat memberikan izin pada sumber daya ke prinsipal lain.  
![\[Layar menunjukkan izin untuk LF-tag di akun.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/lf-tag-permissions.png)

   1.  **Di panel navigasi, di bawah Izin, **Izin** **data, pilih Hibah**.** 

   1.  Pada halaman **Hibah izin**, pilih **pengguna dan peran IAM**. 

   1. Selanjutnya, pilih pengguna dan peran IAM di akun Anda untuk memberikan akses ke database/tabel bersama.

   1. Selanjutnya, untuk **LF-tag atau sumber katalog, pilih Sumber daya** yang **cocok** dengan LF-tag.

   1.  Selanjutnya, pilih kunci dan nilai LF-tag yang dibagikan dengan Anda. 

   1.  Selanjutnya, pilih izin database dan tabel yang ingin Anda berikan kepada pengguna dan peran IAM. Anda juga dapat memilih **izin yang dapat** diberikan yang memungkinkan pengguna dan peran IAM untuk memberikan izin kepada pengguna/peran lain. 

   1.  Pilih**Izin**. 

   1. Anda dapat melihat hibah izin di bawah **Izin data** di konsol Lake Formation.

# Berbagi data lintas akun menggunakan metode sumber daya bernama
<a name="cross-account-named-resource"></a>

Anda dapat memberikan izin untuk langsung ke kepala sekolah di AWS akun lain, atau ke eksternal atau. Akun AWS AWS Organizations Pemberian izin Lake Formation ke Organizations atau unit organisasi setara dengan memberikan izin kepada setiap orang Akun AWS di organisasi atau unit organisasi tersebut. 

Saat Anda memberikan izin ke akun atau organisasi eksternal, Anda harus menyertakan opsi Izin yang Dapat **Diberikan**. Hanya administrator data lake di akun eksternal yang dapat mengakses sumber daya bersama hingga administrator memberikan izin pada sumber daya bersama ke prinsipal lain di akun eksternal.

**catatan**  
Opsi **izin yang dapat** diberikan tidak didukung saat memberikan izin langsung ke prinsipal IAM dari akun eksternal.

Ikuti petunjuk [Memberikan izin database menggunakan metode sumber daya bernama](granting-database-permissions.md) untuk memberikan izin lintas akun menggunakan metode sumber daya bernama.

 Video berikut menunjukkan cara berbagi data dengan AWS organisasi menggunakan Lake Formation. 

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/S-Mdcmq6oPM?controls=0&/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/S-Mdcmq6oPM?controls=0&)


# Memberikan izin pada database atau tabel yang dibagikan dengan akun Anda
<a name="regranting-shared-resources"></a>

Setelah sumber daya Katalog Data milik AWS akun lain dibagikan dengan AWS akun Anda, sebagai administrator data lake, Anda dapat memberikan izin pada sumber daya bersama kepada prinsipal lain di akun Anda. Namun, Anda tidak dapat memberikan izin pada sumber daya ke AWS akun atau organisasi lain.

Anda dapat menggunakan AWS Lake Formation konsol, API, atau AWS Command Line Interface (AWS CLI) untuk memberikan izin.

**Untuk memberikan izin pada database bersama (bernama metode sumber daya, konsol)**
+ Ikuti petunjuk dalam [Memberikan izin database menggunakan metode sumber daya bernama](granting-database-permissions.md). Dalam daftar **Database** di bawah **LF-tag atau sumber katalog**, pastikan bahwa Anda memilih database di akun eksternal, bukan link sumber daya untuk database.

  Jika Anda tidak melihat database dalam daftar database, pastikan bahwa Anda telah menerima undangan berbagi sumber daya AWS Resource Access Manager (AWS RAM) untuk database. Untuk informasi selengkapnya, lihat [Menerima undangan berbagi sumber daya dari AWS RAM](accepting-ram-invite.md).

  Juga, untuk izin `CREATE_TABLE` dan `ALTER` izin, ikuti instruksi di[Memberikan izin lokasi data (akun yang sama)](granting-location-permissions-local.md), dan pastikan untuk memasukkan ID akun pemilik di bidang **Lokasi akun Terdaftar**.

**Untuk memberikan izin pada tabel bersama (bernama metode sumber daya, konsol)**
+ Ikuti petunjuk dalam [Memberikan izin tabel menggunakan metode sumber daya bernama](granting-table-permissions.md). Dalam daftar **Database** di bawah **LF-tag atau sumber katalog**, pastikan bahwa Anda memilih database di akun eksternal, bukan link sumber daya untuk database.

  Jika Anda tidak melihat tabel dalam daftar tabel, pastikan bahwa Anda telah menerima undangan berbagi AWS RAM sumber daya untuk tabel. Untuk informasi selengkapnya, lihat [Menerima undangan berbagi sumber daya dari AWS RAM](accepting-ram-invite.md).

  Juga, untuk `ALTER` izin, ikuti instruksi di[Memberikan izin lokasi data (akun yang sama)](granting-location-permissions-local.md), dan pastikan untuk memasukkan ID akun pemilik di bidang **Lokasi akun Terdaftar**.

**Untuk memberikan izin pada sumber daya bersama (metode LF-TBAC, konsol)**
+ Ikuti petunjuk dalam [Memberikan izin Katalog Data](granting-catalog-perms-TBAC.md#granting-cat-perms-TBAC-console). Di bagian **LF-tag atau sumber daya katalog**, berikan ekspresi LF-tag persis yang diberikan akun eksternal ke akun Anda, atau subset dari ekspresi tersebut.

  Misalnya, jika akun eksternal memberikan ekspresi LF-tag `module=customers AND environment=production` ke akun Anda dengan opsi hibah, sebagai administrator data lake, Anda dapat memberikan ekspresi yang sama, atau `module=customers` atau `environment=production` kepada prinsipal di akun Anda. Anda hanya dapat memberikan izin yang sama atau subset dari Lake Formation (misalnya,, `SELECT``ALTER`, dan seterusnya) yang diberikan pada sumber daya melalui ekspresi LF-tag.

**Untuk memberikan izin pada tabel bersama (bernama metode sumber daya, AWS CLI)**
+ Masukkan perintah yang serupa dengan yang berikut ini. Dalam contoh ini:
  + ID AWS akun Anda adalah 1111-2222-3333.
  + Akun yang memiliki tabel dan yang memberikannya ke akun Anda adalah 1234-5678-9012.
  + `SELECT`Izin diberikan pada tabel bersama `pageviews` kepada pengguna`datalake_user1`. Pengguna itu adalah prinsipal di akun Anda.
  + `pageviews`Tabel ada di `analytics` database, yang dimiliki oleh akun 1234-5678-9012.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "Table": {"CatalogId":"123456789012", "DatabaseName":"analytics", "Name":"pageviews"}}'
  ```

  Perhatikan bahwa akun pemilik harus ditentukan dalam `CatalogId` properti dalam `resource` argumen.

# Memberikan izin tautan sumber daya
<a name="granting-link-permissions"></a>

Ikuti langkah-langkah ini untuk memberikan AWS Lake Formation izin pada satu atau beberapa tautan sumber daya ke prinsipal di AWS akun Anda.

Setelah Anda membuat tautan sumber daya, hanya Anda yang dapat melihat dan mengaksesnya. (Ini mengasumsikan bahwa **Gunakan hanya kontrol akses IAM untuk tabel baru dalam database ini** tidak diaktifkan untuk database.) Untuk mengizinkan kepala sekolah lain di akun Anda mengakses tautan sumber daya, berikan setidaknya izin. `DESCRIBE`

**penting**  
Pemberian izin pada tautan sumber daya tidak memberikan izin pada database atau tabel target (tertaut). Anda harus memberikan izin pada target secara terpisah.

Anda dapat memberikan izin menggunakan konsol Lake Formation, API, atau AWS Command Line Interface (AWS CLI).

------
#### [ console ]

**Untuk memberikan izin tautan sumber daya menggunakan konsol Lake Formation**

1. Lakukan salah satu tindakan berikut:
   + Untuk tautan sumber daya basis data, ikuti langkah-langkah di[Memberikan izin database menggunakan metode sumber daya bernama](granting-database-permissions.md). untuk melakukan hal berikut:

     1.  Pilih tautan sumber daya dari daftar database di bawah Katalog Data, **Database**. 

     1.  Pilih **Hibah** untuk membuka halaman **izin Hibah**.

     1.  Tentukan prinsipal untuk memberikan izin.

     1.  Bidang **Katalog** dan **Database** diisi.
   + Untuk tautan sumber daya tabel, ikuti langkah-langkah [Memberikan izin tabel menggunakan metode sumber daya bernama](granting-table-permissions.md) untuk melakukan hal berikut:

     1.  Pilih tautan sumber daya dari daftar tabel di bawah Katalog Data, **Tabel**.

     1. Buka halaman **izin Hibah**.

     1.  Tentukan kepala sekolah.

     1.  Bidang **Katalog**, **Database**, **Tabel** diisi.

     1.  Tentukan kepala sekolah.

1. Di bawah **Izin**, pilih izin yang akan diberikan. Secara opsional, pilih izin yang dapat diberikan.  
![\[Bagian Izin berisi satu ubin. Ubin memiliki sekelompok kotak centang untuk izin tautan sumber daya untuk diberikan. Kotak centang termasuk Drop dan Deskripsikan. Di bawah grup itu ada grup lain dari kotak centang yang sama untuk izin yang dapat diberikan.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/grant-resource-link-permissions-TBAC.png)

1. Pilih**Izin**.

------
#### [ AWS CLI ]

**Untuk memberikan izin tautan sumber daya menggunakan AWS CLI**
+ Jalankan `grant-permissions` perintah, tentukan tautan sumber daya sebagai sumber daya.  
**Example**  

  Contoh ini memberikan `DESCRIBE` kepada pengguna `datalake_user1` pada tautan sumber daya tabel di database `incidents-link` `issues` di AWS akun 1111-2222-3333.

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Table": {"DatabaseName":"issues", "Name":"incidents-link"}}'
  ```

------

**Lihat Juga:**  
 [Membuat tautan sumber daya](creating-resource-links.md) 
 [Referensi izin Lake Formation](lf-permissions-reference.md) 

# Mengakses data dasar tabel bersama
<a name="cross-account-read-data"></a>

Asumsikan bahwa AWS akun A membagikan tabel Katalog Data dengan akun B—misalnya, `SELECT` dengan memberikan opsi hibah pada tabel ke akun B. Agar prinsipal di akun B dapat membaca data dasar tabel bersama, kondisi berikut harus dipenuhi:
+ Administrator data lake di akun B harus menerima pembagian. (Ini tidak diperlukan jika akun A dan B berada di organisasi yang sama atau jika hibah dibuat dengan metode kontrol akses berbasis tag Lake Formation.)
+ Administrator data lake harus memberikan kembali kepada kepala sekolah `SELECT` izin Lake Formation yang diberikan akun A pada tabel bersama.
+ Kepala sekolah harus memiliki izin IAM berikut di atas tabel, database yang berisi itu, dan akun A Data Catalog.
**catatan**  
Dalam kebijakan IAM berikut:  
Ganti *<account-id-A>* dengan ID AWS akun akun A.
Ganti *<region>* dengan Region yang valid.
Ganti *<database>* dengan nama database di akun A yang berisi tabel bersama.
Ganti *<table>* dengan nama tabel bersama.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "glue:GetTable",
              "glue:GetTables",
              "glue:GetPartition",
              "glue:GetPartitions",
              "glue:BatchGetPartition",
              "glue:GetDatabase",
              "glue:GetDatabases"
             ],
             "Resource": [
              "arn:aws:glue:us-east-1:111122223333:table/<database>/<table>",
              "arn:aws:glue:us-east-1:111122223333:database/<database>",
              "arn:aws:glue:us-east-1:111122223333:catalog"
             ]
          },
          {
            "Effect": "Allow",
            "Action": [
              "lakeformation:GetDataAccess"
             ],
            "Resource": [
              "*"
             ]
      }
     ]
  }
  ```

------

**Lihat Juga:**  
[Menerima undangan berbagi sumber daya dari AWS RAM](accepting-ram-invite.md)

# Pencatatan lintas akun CloudTrail
<a name="cross-account-logging"></a>

Lake Formation menyediakan jejak audit terpusat dari semua akses lintas akun ke data di danau data Anda. Saat AWS akun penerima mengakses data dalam tabel bersama, Lake Formation menyalin CloudTrail peristiwa tersebut ke log akun pemilik. CloudTrail Peristiwa yang disalin mencakup kueri terhadap data oleh layanan terintegrasi seperti Amazon Athena dan Amazon Redshift Spectrum, dan akses data berdasarkan pekerjaan. AWS Glue

CloudTrail peristiwa untuk operasi lintas akun pada sumber daya Katalog Data disalin dengan cara yang sama.

Sebagai pemilik sumber daya, jika Anda mengaktifkan pencatatan tingkat objek di Amazon S3, Anda dapat menjalankan kueri yang menggabungkan CloudTrail peristiwa S3 dengan peristiwa CloudTrail Lake Formation untuk menentukan akun yang telah mengakses bucket S3 Anda.

**Topics**
+ [Termasuk identitas utama dalam log lintas akun CloudTrail](#cross-account-logging-optin)
+ [Menanyakan CloudTrail log untuk akses lintas akun Amazon S3](#cross-account-logging-s3)

## Termasuk identitas utama dalam log lintas akun CloudTrail
<a name="cross-account-logging-optin"></a>

Secara default, CloudTrail peristiwa lintas akun yang ditambahkan ke log penerima sumber daya bersama dan disalin ke log pemilik sumber daya hanya berisi ID AWS utama prinsip akun eksternal—bukan Nama Sumber Daya Amazon (ARN) yang dapat dibaca manusia dari prinsipal (ARN utama). Saat berbagi sumber daya dalam batas-batas tepercaya, seperti dalam organisasi atau tim yang sama, Anda dapat memilih untuk memasukkan ARN utama dalam acara tersebut CloudTrail . Akun pemilik sumber daya kemudian dapat melacak prinsipal di akun penerima yang mengakses sumber daya milik mereka.

**penting**  
Sebagai penerima sumber daya bersama, untuk melihat ARN utama dalam peristiwa di CloudTrail log Anda sendiri, Anda harus memilih untuk membagikan ARN utama dengan akun pemilik.  
Jika akses data terjadi melalui tautan sumber daya, dua peristiwa dicatat di akun penerima sumber daya bersama: satu untuk akses tautan sumber daya dan satu untuk akses sumber daya target. Acara untuk akses tautan sumber daya *memang* mencakup ARN utama. Acara untuk akses sumber daya target tidak termasuk ARN utama tanpa keikutsertaan. Acara akses tautan sumber daya tidak disalin ke akun pemilik.

Berikut ini adalah kutipan dari CloudTrail acara lintas akun default (tanpa keikutsertaan). Akun yang melakukan akses data adalah 1111-2222-3333. Ini adalah log yang ditampilkan di akun panggilan dan akun pemilik sumber daya. Lake Formation mengisi log di kedua akun dalam kasus lintas akun.

```
{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession",
        "accountId": "111122223333"
    },
    "eventSource": "lakeformation.amazonaws.com",
    "eventName": "GetDataAccess",
...
...
    "additionalEventData": {
        "requesterService": "GLUE_JOB",
        "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2"
    },
...
}
```

Sebagai konsumen sumber daya bersama, ketika Anda memilih untuk memasukkan ARN utama, kutipannya menjadi sebagai berikut. `lakeFormationPrincipal`Bidang mewakili peran akhir atau pengguna yang melakukan kueri melalui Amazon Athena, Amazon Redshift Spectrum, atau pekerjaan. AWS Glue

```
{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession",
        "accountId": "111122223333"
    },
    "eventSource": "lakeformation.amazonaws.com",
    "eventName": "GetDataAccess",
...
...
    "additionalEventData": {
        "requesterService": "GLUE_JOB",
        "lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role",
        "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2"
    },
...
}
```

**Untuk ikut serta untuk menyertakan prinsipal ARNs dalam log lintas akun CloudTrail**

1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Masuk sebagai `Administrator` pengguna, atau pengguna dengan kebijakan `Administrator Access` IAM.

1. Pada panel navigasi, silakan pilih **Pengaturan**.

1. Pada halaman **Pengaturan katalog data**, di AWS CloudTrail bagian **Izin default untuk**, untuk **pemilik sumber daya**, masukkan satu atau beberapa akun IDs pemilik AWS sumber daya.

   Tekan **Enter** setelah setiap ID akun.

1. Pilih **Simpan**.

   Sekarang CloudTrail peristiwa lintas akun yang disimpan di log untuk penerima sumber daya bersama dan pemilik sumber daya berisi ARN utama.

## Menanyakan CloudTrail log untuk akses lintas akun Amazon S3
<a name="cross-account-logging-s3"></a>

Sebagai pemilik sumber daya bersama, Anda dapat melakukan kueri CloudTrail log S3 untuk menentukan akun yang telah mengakses bucket Amazon S3 Anda (asalkan Anda mengaktifkan pencatatan tingkat objek di Amazon S3). Ini hanya berlaku untuk lokasi S3 yang Anda daftarkan di Lake Formation. Jika konsumen sumber daya bersama memilih untuk menyertakan prinsipal ARNs dalam CloudTrail log Lake Formation, Anda dapat menentukan peran atau pengguna yang mengakses bucket.

Saat menjalankan kueri Amazon Athena, Anda dapat bergabung dengan acara Lake Formation dan CloudTrail acara S3 CloudTrail di properti nama sesi. Kueri juga dapat memfilter acara Lake Formation`eventName="GetDataAccess"`, dan acara S3 pada `eventName="Get Object"` atau. `eventName="Put Object"`

Berikut ini adalah kutipan dari CloudTrail acara lintas akun Lake Formation di mana data di lokasi S3 terdaftar diakses.

```
{
  "eventSource": "lakeformation.amazonaws.com",
  "eventName": "GetDataAccess",
  ..............
  ..............
  "additionalEventData": {
    "requesterService": "GLUE_JOB",
    "lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role",
    "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-B8JSAjo5QA"
   }
}
```

Nilai `lakeFormationRoleSessionName` kunci,`AWSLF-00-GL-111122223333-B8JSAjo5QA`, dapat digabungkan dengan nama sesi di `principalId` kunci CloudTrail acara S3. Berikut ini adalah kutipan dari acara CloudTrail S3. Ini menunjukkan lokasi nama sesi.

```
{
   "eventSource": "s3.amazonaws.com",
   "eventName": "Get Object"
   ..............
   ..............
   "principalId": "AROAQSOX5XXUR7D6RMYLR:AWSLF-00-GL-111122223333-B8JSAjo5QA",
   "arn": "arn:aws:sets::111122223333:assumed-role/Deformationally/AWSLF-00-GL-111122223333-B8JSAjo5QA",  
   "session Context": {
     "session Issuer": {
       "type": "Role",
       "principalId": "AROAQSOX5XXUR7D6RMYLR",
       "arn": "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/Deformationally",
       "accountId": "111122223333",
       "user Name": "Deformationally"
     },
   ..............
   ..............
}
```

Nama sesi diformat sebagai berikut:

```
AWSLF-<version-number>-<query-engine-code>-<account-id->-<suffix>
```

**`version-number`**  
Versi format ini, saat ini`00`. Jika format nama sesi berubah, versi berikutnya adalah`01`.

**`query-engine-code`**  
Menunjukkan entitas yang mengakses data. Nilai saat ini adalah:      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/cross-account-logging.html)

**`account-id`**  
ID AWS akun yang meminta kredensi dari Lake Formation.

**`suffix`**  
String yang dihasilkan secara acak.

# Mengelola izin lintas akun menggunakan keduanya AWS Glue dan Lake Formation
<a name="hybrid-cross-account"></a>

Dimungkinkan untuk memberikan akses lintas akun ke sumber daya Katalog Data dan data yang mendasarinya dengan menggunakan salah satu AWS Glue atau AWS Lake Formation.

DiAWS Glue, Anda memberikan izin lintas akun dengan membuat atau memperbarui kebijakan sumber daya Katalog Data. Di Lake Formation, Anda memberikan izin lintas akun dengan menggunakan model `GRANT/REVOKE` izin Lake Formation dan operasi API. `Grant Permissions`

**Tip**  
Kami menyarankan agar hanya mengandalkan izin Lake Formation untuk mengamankan data lake Anda.

Anda dapat melihat hibah lintas akun Lake Formation dengan menggunakan konsol Lake Formation atau konsol AWS Resource Access Manager (AWS RAM). Namun, halaman konsol tersebut tidak menampilkan izin lintas akun yang diberikan oleh kebijakan sumber daya Katalog AWS Glue Data. Demikian pula, Anda dapat melihat hibah lintas akun dalam kebijakan sumber daya Katalog Data menggunakan halaman **Pengaturan** AWS Glue konsol, tetapi halaman tersebut tidak menampilkan izin lintas akun yang diberikan menggunakan Lake Formation.

Untuk memastikan bahwa Anda tidak melewatkan hibah apa pun saat melihat dan mengelola izin lintas akun, Lake Formation dan AWS Glue meminta Anda untuk melakukan tindakan berikut untuk menunjukkan bahwa Anda mengetahui dan mengizinkan hibah lintas akun oleh Lake Formation dan. AWS Glue

**Saat memberikan izin lintas akun menggunakan kebijakan sumber daya Katalog AWS Glue Data**  
Jika akun Anda (akun pemberi atau akun produsen) tidak membuat hibah lintas akun yang digunakan AWS RAM untuk berbagi sumber daya, Anda dapat menyimpan kebijakan sumber daya Katalog Data seperti biasa di. AWS Glue Namun, jika hibah yang melibatkan pembagian AWS RAM sumber daya telah dibuat, Anda harus melakukan salah satu hal berikut untuk memastikan bahwa menyimpan kebijakan sumber daya berhasil:
+ Saat Anda menyimpan kebijakan sumber daya di halaman **Pengaturan** AWS Glue konsol, konsol mengeluarkan peringatan yang menyatakan bahwa izin dalam kebijakan akan ditambahkan ke izin apa pun yang diberikan menggunakan konsol Lake Formation. Anda harus memilih **Lanjutkan** untuk menyimpan kebijakan.
+ Saat menyimpan kebijakan sumber daya menggunakan operasi `glue:PutResourcePolicy` API, Anda harus menyetel `EnableHybrid` bidang ke '`TRUE`' (type = string).

  Untuk memperbarui kebijakan sumber daya yang ada, gunakan operasi `glue:GetResourcePolicy` API untuk mengambil kebijakan Anda saat ini terlebih dahulu, lalu ubah sesuai kebutuhan sebelum memanggil`glue:PutResourcePolicy`. 
**catatan**  
Saat membuat kebijakan AWS Glue sumber daya untuk akses lintas akun, berikan hanya izin minimum yang diperlukan untuk kasus penggunaan spesifik Anda.

  *Untuk informasi selengkapnya, lihat [PutResourcePolicy Tindakan (Python: put\$1resource\$1policy](https://docs.aws.amazon.com/glue/latest/dg/aws-glue-api-jobs-security.html#aws-glue-api-jobs-security-PutResourcePolicy)) di Panduan Pengembang.AWS Glue *

**Saat memberikan izin lintas akun menggunakan metode sumber daya bernama Lake Formation**  
Jika tidak ada kebijakan sumber daya Katalog Data di akun Anda (akun produser), hibah lintas akun Lake Formation yang Anda lakukan melanjutkan seperti biasa. Namun, jika kebijakan sumber daya Katalog Data ada, Anda harus menambahkan pernyataan berikut untuk mengizinkan hibah lintas akun Anda berhasil jika dibuat dengan metode sumber daya bernama. Ganti *<region>* dengan nama Region yang valid dan *<account-id>* dengan ID AWS akun Anda (ID akun produsen).

```
    {
      "Effect": "Allow",
      "Action": [
        "glue:ShareResource"
      ],
      "Principal": {"Service": [
        "ram.amazonaws.com"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:<account-id>:table/*/*",
        "arn:aws:glue:<region>:<account-id>:database/*",
        "arn:aws:glue:<region>:<account-id>:catalog"
      ]
    }
```

Tanpa pernyataan tambahan ini, hibah Lake Formation berhasil, tetapi diblokir AWS RAM, dan akun penerima tidak dapat mengakses sumber daya yang diberikan.

**penting**  
Saat menggunakan metode kontrol akses berbasis tag Lake Formation (LF-TBAC) untuk membuat hibah lintas akun, Anda harus memiliki kebijakan sumber daya Katalog Data dengan setidaknya izin yang ditentukan. [Prasyarat](cross-account-prereqs.md)

**Lihat Juga:**  
[Kontrol akses metadata](access-control-metadata.md)(untuk diskusi tentang metode sumber daya bernama versus metode kontrol akses berbasis tag Lake Formation (LF-TBAC)).
[Melihat tabel dan database Katalog Data bersama](viewing-available-shared-resources.md)
[Bekerja dengan Pengaturan Katalog Data di AWS Glue Konsol](https://docs.aws.amazon.com/glue/latest/dg/console-data-catalog-settings.html) di *Panduan AWS Glue Pengembang*
[Memberikan Akses Lintas Akun](https://docs.aws.amazon.com/glue/latest/dg/cross-account-access.html) di *Panduan AWS Glue Pengembang* (untuk contoh kebijakan sumber daya Katalog Data)

# Melihat semua hibah lintas akun menggunakan operasi API GetResourceShares
<a name="cross-account-getresourcepolicies"></a>

Jika perusahaan Anda memberikan izin lintas akun menggunakan kebijakan AWS Glue Data Catalog sumber daya dan hibah Lake Formation, satu-satunya cara untuk melihat semua hibah lintas akun di satu tempat adalah dengan menggunakan operasi API. `glue:GetResourceShares`

Saat Anda memberikan izin Lake Formation di seluruh akun dengan menggunakan metode sumber daya bernama, AWS Resource Access Manager (AWS RAM) membuat kebijakan sumber daya AWS Identity and Access Management (IAM) dan menyimpannya di akun Anda AWS . Kebijakan memberikan izin yang diperlukan untuk mengakses sumber daya. AWS RAM membuat kebijakan sumber daya terpisah untuk setiap hibah lintas akun. Anda dapat melihat semua kebijakan ini dengan menggunakan operasi `glue:GetResourceShares` API.

**catatan**  
Operasi ini juga mengembalikan kebijakan sumber daya Katalog Data. Namun, jika Anda mengaktifkan enkripsi meta data dalam pengaturan Katalog Data, dan Anda tidak memiliki izin pada AWS KMS kunci, operasi tidak akan menampilkan kebijakan sumber daya Katalog Data.

**Untuk melihat semua hibah lintas akun**
+ Masukkan AWS CLI perintah berikut.

  ```
  aws glue get-resource-policies
  ```

Berikut ini adalah contoh kebijakan sumber daya yang AWS RAM membuat dan menyimpan saat Anda memberikan izin pada tabel `t` dalam database `db1` ke AWS akun 1111-2222-3333.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "glue:GetTable",
         "glue:GetTables",
         "glue:GetTableVersion",         
         "glue:GetTableVersions",
         "glue:GetPartition", 
         "glue:GetPartitions",
         "glue:BatchGetPartition",
         "glue:SearchTables"
       ],
      "Principal": {"AWS": [
        "111122223333"
      ]},
      "Resource": [
      "arn:aws:glue:us-east-1:111122223333:table/db1/t"
     ]
    }
  ]
}
```

------

**Lihat juga:**  
[GetResourceShares Tindakan (Python: get\$1resource\$1policies](https://docs.aws.amazon.com/glue/latest/dg/aws-glue-api-jobs-security.html#aws-glue-api-jobs-security-GetResourcePolicies)*) di Panduan Pengembang AWS Glue *