Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Prasyarat
<a name="cross-account-prereqs"></a>

Sebelum AWS akun Anda dapat membagikan sumber daya Katalog Data (katalog, database, dan tabel) dengan akun atau kepala sekolah lain di akun lain, dan sebelum Anda dapat mengakses sumber daya yang dibagikan dengan akun Anda, prasyarat berikut harus dipenuhi.

**Persyaratan berbagi data lintas akun umum**
+ **Untuk berbagi database dan tabel Katalog Data dalam mode akses hibrida dan berbagi objek dalam katalog federasi, Anda perlu memperbarui **pengaturan versi Cross account ke Versi 4**.**
+ Sebelum memberikan izin lintas akun pada sumber daya Katalog Data, Anda harus mencabut semua izin Lake Formation dari `IAMAllowedPrincipals` grup untuk sumber daya tersebut. Jika prinsipal panggilan memiliki izin lintas akun untuk mengakses sumber daya dan `IAMAllowedPrincipals` izin ada di sumber daya, maka Lake Formation melempar`AccessDeniedException`. 

  Persyaratan ini hanya berlaku ketika Anda mendaftarkan lokasi data yang mendasarinya dalam mode Lake Formation. Jika Anda mendaftarkan lokasi data dalam mode hibrida, izin `IAMAllowedPrincipals` grup dapat ada di database atau tabel bersama. 
+  Untuk database yang berisi tabel yang ingin Anda bagikan, Anda harus mencegah tabel baru memiliki hibah default `Super` to`IAMAllowedPrincipals`. Pada konsol Lake Formation, edit database dan matikan **Gunakan hanya kontrol akses IAM untuk tabel baru dalam database ini** atau masukkan AWS CLI perintah berikut, ganti `database` dengan nama database. Jika lokasi data yang mendasari terdaftar dalam mode akses hybrid, Anda tidak perlu mengubah pengaturan default ini. Dalam mode akses hybrid, Lake Formation memungkinkan Anda untuk secara selektif menerapkan izin Lake Formation dan kebijakan izin IAM untuk Amazon S3 dan pada sumber daya yang sama. AWS Glue 

  ```
  aws glue update-database --name {{database}} --database-input '{"Name":"{{database}}","CreateTableDefaultPermissions":[]}'
  ```
+ Untuk memberikan izin lintas akun, pemberi harus memiliki izin dan layanan yang diperlukan AWS Identity and Access Management (IAM). AWS Glue AWS RAM Kebijakan AWS terkelola `AWSLakeFormationCrossAccountManager` memberikan izin yang diperlukan.

  Administrator data lake di akun yang menerima pembagian sumber daya menggunakan AWS RAM harus memiliki kebijakan tambahan berikut. Hal ini memungkinkan administrator untuk menerima undangan berbagi AWS RAM sumber daya. Ini juga memungkinkan administrator untuk mengaktifkan berbagi sumber daya dengan organisasi.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "ram:AcceptResourceShareInvitation",
                  "ram:RejectResourceShareInvitation",
                  "ec2:DescribeAvailabilityZones",
                  "ram:EnableSharingWithAwsOrganization"
              ],
              "Resource": "*"
          }
      ]
  }
  ```

------
+ Jika Anda ingin berbagi sumber daya Katalog Data dengan AWS Organizations atau unit organisasi, berbagi dengan organisasi harus diaktifkan AWS RAM.

  Untuk informasi tentang cara mengaktifkan berbagi dengan organisasi, lihat [Mengaktifkan berbagi dengan AWS organisasi](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) di *Panduan AWS RAM Pengguna*.

  Anda harus memiliki `ram:EnableSharingWithAwsOrganization` izin untuk mengaktifkan berbagi dengan organisasi.
+ Untuk berbagi sumber daya secara langsung dengan prinsipal IAM di akun lain, Anda perlu memperbarui **pengaturan versi Cross account** ke **Versi 3**. Pengaturan ini tersedia di halaman **Pengaturan katalog data**. Jika Anda menggunakan **Versi 1**, lihat petunjuk untuk memperbarui pengaturan[Memperbarui pengaturan versi berbagi data lintas akun](optimize-ram.md).
+ Anda tidak dapat membagikan sumber daya Katalog Data yang dienkripsi dengan kunci terkelola AWS Glue layanan dengan akun lain. Anda hanya dapat membagikan sumber daya Katalog Data yang dienkripsi dengan kunci enkripsi pelanggan, dan akun yang menerima pembagian sumber daya harus memiliki izin pada kunci enkripsi Katalog Data untuk mendekripsi objek.

**Berbagi data lintas akun menggunakan persyaratan LF-TBAC**
+  Untuk berbagi sumber daya Katalog Data dengan AWS Organizations dan unit organisasi (OUs), Anda perlu memperbarui **setelan versi Cross account** ke **Versi 3** atau lebih tinggi. 
+ Untuk membagikan sumber daya Katalog Data dengan versi 3 dari **setelan versi Cross account**, pemberi harus memiliki izin IAM yang ditentukan dalam kebijakan AWS `AWSLakeFormationCrossAccountManager` terkelola di akun Anda.
+ Jika Anda menggunakan versi 1 atau versi 2 dari **pengaturan versi Cross account**, Anda harus memiliki kebijakan sumber daya Katalog Data (`glue:PutResourcePolicy`) yang mengaktifkan LF-TBAC. Untuk informasi selengkapnya, lihat [Mengelola izin lintas akun menggunakan keduanya AWS Glue dan Lake Formation](hybrid-cross-account.md).
+ Jika saat ini Anda menggunakan kebijakan sumber daya Katalog AWS Glue Data untuk berbagi sumber daya, dan Anda ingin memberikan izin lintas akun menggunakan versi 3 atau lebih tinggi dari **setelan versi Cross account**, Anda harus menambahkan `glue:ShareResource` izin di Pengaturan Katalog Data menggunakan operasi `glue:PutResourcePolicy` API seperti yang ditunjukkan di bagian[Mengelola izin lintas akun menggunakan keduanya AWS Glue dan Lake Formation](hybrid-cross-account.md). Kebijakan ini tidak diperlukan jika akun Anda tidak membuat hibah lintas akun menggunakan kebijakan sumber daya Katalog AWS Glue Data (`glue:PutResourcePolicy`izin penggunaan versi 1 dan versi 2) untuk memberikan akses lintas akun. 

  ```
  {
        "Effect": "Allow",
        "Action": [
          "glue:ShareResource"
        ],
        "Principal": {"Service": [
          "ram.amazonaws.com"
        ]},
        "Resource": [
          "arn:aws:glue:<region>:<account-id>:table/*/*",
          "arn:aws:glue:<region>:<account-id>:database/*",
          "arn:aws:glue:<region>:<account-id>:catalog"
        ]
      }
  ```
+ Jika akun Anda telah membuat pembagian lintas akun menggunakan kebijakan sumber daya Katalog AWS Glue Data, dan saat ini Anda menggunakan metode sumber daya bernama atau LF-TBAC dengan **setelan Cross account** versi 3 untuk berbagi sumber daya, yang digunakan AWS RAM untuk berbagi sumber daya, Anda harus menyetel `EnableHybrid` argumen `'true'` saat menjalankan operasi API. `glue:PutResourcePolicy` Untuk informasi selengkapnya, lihat [Mengelola izin lintas akun menggunakan keduanya AWS Glue dan Lake Formation](hybrid-cross-account.md).

**Penyiapan diperlukan di setiap akun yang mengakses sumber daya bersama**
+ Jika Anda berbagi sumber daya dengan Akun AWS, setidaknya satu pengguna di akun konsumen harus menjadi administrator data lake untuk melihat sumber daya bersama. Untuk informasi tentang cara membuat administrator data lake, lihat[Buat administrator danau data](initial-lf-config.md#create-data-lake-admin).

  Administrator data lake dapat memberikan izin Lake Formation pada sumber daya bersama ke kepala sekolah lain di akun. Prinsipal lain tidak dapat mengakses sumber daya bersama sampai administrator data lake memberi mereka izin pada sumber daya.
+ Layanan terintegrasi seperti Athena dan Redshift Spectrum memerlukan tautan sumber daya untuk dapat menyertakan sumber daya bersama dalam kueri. Prinsipal perlu membuat tautan sumber daya di Katalog Data mereka ke sumber daya bersama dari yang lain. Akun AWS Untuk informasi selengkapnya tentang tautan sumber daya, lihat[Cara kerja tautan sumber daya di Lake Formation](resource-links-about.md).
+ Ketika sumber daya dibagikan langsung dengan prinsipal IAM, untuk menanyakan tabel menggunakan Athena, prinsipal perlu membuat tautan sumber daya. Untuk membuat tautan sumber daya, kepala sekolah memerlukan Formasi Danau `CREATE_TABLE` atau `CREATE_DATABASE` izin, dan izin `glue:CreateTable` atau `glue:CreateDatabase` IAM.

  Jika akun produsen berbagi tabel yang berbeda di bawah database yang sama dengan prinsipal yang sama atau lainnya, prinsipal tersebut dapat segera menanyakan tabel tersebut.

**catatan**  
Untuk administrator data lake dan untuk prinsipal yang telah diberikan izin oleh administrator danau data, sumber daya bersama muncul di Katalog Data seolah-olah sumber daya lokal (dimiliki). Pekerjaan ekstrak, transformasi, dan muat (ETL) dapat mengakses data dasar sumber daya bersama.  
Untuk sumber daya bersama, halaman **Tabel** dan **Database** di konsol Lake Formation menampilkan ID akun pemilik.  
Saat data dasar sumber daya bersama diakses, peristiwa CloudTrail log dibuat di akun penerima sumber daya bersama dan akun pemilik sumber daya. CloudTrail Peristiwa dapat berisi ARN dari prinsipal yang mengakses data, tetapi hanya jika akun penerima memilih untuk memasukkan ARN utama dalam log. Untuk informasi selengkapnya, lihat [Pencatatan lintas akun CloudTrail](cross-account-logging.md).