Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Condivisione dei dati tra account in Lake Formation
<a name="cross-account-permissions"></a>

Le funzionalità cross-account di Lake Formation consentono agli utenti di condividere in modo sicuro i data lake distribuiti tra più AWS organizzazioni o direttamente con i responsabili IAM in un altro account Account AWS, fornendo un accesso granulare ai metadati del Data Catalog e ai dati sottostanti. Le grandi aziende in genere utilizzano più Account AWS account e molti di questi account potrebbero aver bisogno di accedere a un data lake gestito da un singolo account. Account AWS Gli utenti e i job di AWS Glue estrazione, trasformazione e caricamento (ETL) possono eseguire query e unire tabelle su più account e sfruttare comunque le protezioni dei dati a livello di tabella e colonna di Lake Formation.

Quando concedi le autorizzazioni di Lake Formation su una risorsa Data Catalog a un account esterno o direttamente a un responsabile IAM in un altro account, Lake Formation utilizza il servizio AWS Resource Access Manager (AWS RAM) per condividere la risorsa. Se l’account assegnatario appartiene alla stessa organizzazione dell’account concedente, la risorsa condivisa è immediatamente disponibile per l’assegnatario. Se l'account del beneficiario non appartiene alla stessa organizzazione, AWS RAM invia un invito all'account del beneficiario per accettare o rifiutare la concessione di risorse. Quindi, per rendere disponibile la risorsa condivisa, l'amministratore del data lake nell'account del beneficiario deve utilizzare la console o accettare l' AWS RAM invito. AWS CLI 

 Lake Formation supporta la condivisione delle risorse del Data Catalog con account esterni in modalità di accesso ibrido. La modalità di accesso ibrido offre la flessibilità necessaria per abilitare selettivamente le autorizzazioni di Lake Formation per database e tabelle del tuo. AWS Glue Data Catalog
 Con la modalità di accesso ibrida, ora disponi di un percorso incrementale che ti consente di impostare le autorizzazioni di Lake Formation per un set specifico di utenti senza interrompere le politiche di autorizzazione di altri utenti o carichi di lavoro esistenti.

Per ulteriori informazioni, consulta [Modalità di accesso ibrida](hybrid-access-mode.md). 

**Condivisione diretta tra account**  
I responsabili autorizzati possono condividere le risorse in modo esplicito con un responsabile IAM in un account esterno. Questa funzionalità è utile quando il proprietario di un account desidera avere il controllo su chi nell'account esterno può accedere alle risorse. Le autorizzazioni ricevute dal preside IAM saranno costituite da un'unione di concessioni dirette e concessioni a livello di account, che verranno trasferite a cascata ai principali. Solo il destinatario della concessione di autorizzazione può visualizzare le concessioni dirette tra account. Il principale che riceve la condivisione di risorse non può condividere la risorsa con altri destinatari.

**Metodi per condividere le risorse del Data Catalog**  
Con un'unica operazione di concessione di Lake Formation, puoi concedere autorizzazioni tra account sulle seguenti risorse del Data Catalog. 
+ Un database
+ Una tabella singola (con filtro opzionale per le colonne)
+ Alcune tabelle selezionate
+ Tutte le tabelle di un database (utilizzando il carattere jolly Tutte le tabelle)

Esistono due opzioni per condividere database e tabelle con un altro account Account AWS o con i principali IAM di un altro account.
+ Controllo degli accessi basato su tag Lake Formation (LF-TBAC) (consigliato)

  Il controllo degli accessi basato su tag Lake Formation è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. Puoi utilizzare il controllo degli accessi basato su tag per condividere le risorse del Data Catalog (database, tabelle e colonne) con responsabili IAM esterni, Account AWS Organizzazioni e unità organizzative (OUs). In Lake Formation, questi attributi sono chiamati LF-tag. Per ulteriori informazioni, consulta [Gestione di un data lake utilizzando il controllo degli accessi basato su tag Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/managing-dl-tutorial.html).
**Nota**  
Il metodo LF-TBAC per la concessione delle autorizzazioni di Data Catalog viene utilizzato per le concessioni tra account. AWS Resource Access Manager   
Lake Formation ora supporta la concessione di autorizzazioni tra account a Organizzazioni e unità organizzative utilizzando il metodo LF-TBAC.  
**Per abilitare questa funzionalità, è necessario aggiornare le impostazioni della versione dell'**account Cross alla versione** 3 o successiva.**  
Per ulteriori informazioni, consulta [Aggiornamento delle impostazioni della versione di condivisione dei dati tra account](optimize-ram.md).
+ Risorse denominate Lake Formation

  La condivisione dei dati tra account di Lake Formation utilizzando il metodo delle risorse denominate consente di concedere le autorizzazioni di Lake Formation con un'opzione di concessione su tabelle e database di Data Catalog a dirigenti Account AWS, organizzazioni o unità organizzative IAM esterni. L'operazione di concessione condivide automaticamente tali risorse.

**Nota**  
Puoi anche consentire al AWS Glue crawler di accedere a un data store in un account diverso utilizzando le credenziali di Lake Formation. Per ulteriori informazioni, consulta la sezione Scansione [tra account nella Guida per gli sviluppatori](https://docs.aws.amazon.com/glue/latest/dg/crawler-configuration.html#cross-account-crawling). AWS Glue 

I servizi integrati come Athena e Amazon Redshift Spectrum richiedono collegamenti alle risorse per poter includere risorse condivise nelle query. Per ulteriori informazioni sui link alle risorse, consulta. [Come funzionano i link alle risorse in Lake Formation](resource-links-about.md)

Per considerazioni e limitazioni, vedere[Buone pratiche e considerazioni sulla condivisione dei dati tra account](cross-account-notes.md).

**Topics**
+ [Prerequisiti](cross-account-prereqs.md)
+ [Aggiornamento delle impostazioni della versione di condivisione dei dati tra account](optimize-ram.md)
+ [Condivisione delle tabelle e dei database del Data Catalog tra i nostri principali IAM provenienti Account AWS da account esterni](cross-account-data-share-steps.md)
+ [Concessione delle autorizzazioni su un database o una tabella condivisa con il tuo account](regranting-shared-resources.md)
+ [Concessione delle autorizzazioni per i collegamenti alle risorse](granting-link-permissions.md)
+ [Accesso ai dati sottostanti di una tabella condivisa](cross-account-read-data.md)
+ [Registrazione su più account CloudTrail](cross-account-logging.md)
+ [Gestione delle autorizzazioni tra account utilizzando sia Lake Formation che tramite Lake AWS Glue Formation](hybrid-cross-account.md)
+ [Visualizzazione di tutte le sovvenzioni tra account utilizzando l'operazione API GetResourceShares](cross-account-getresourcepolicies.md)

**Argomenti correlati**  
[Panoramica delle autorizzazioni di Lake Formation](lf-permissions-overview.md)
[Accesso e visualizzazione di tabelle e database di Data Catalog condivisi](viewing-shared-resources.md)
[Creazione di collegamenti alle risorse](creating-resource-links.md)
[Risoluzione dei problemi di accesso tra account](troubleshooting.md#trouble-cross-account)

# Prerequisiti
<a name="cross-account-prereqs"></a>

Prima che l' AWS account possa condividere le risorse di Data Catalog (cataloghi, database e tabelle) con un altro account o i responsabili di un altro account e prima di poter accedere alle risorse condivise con il proprio account, devono essere soddisfatti i seguenti prerequisiti.

**Requisiti generali per la condivisione dei dati tra account**
+ **Per condividere i database e le tabelle di Data Catalog in modalità di accesso ibrido e condividere oggetti nei cataloghi federati, è necessario aggiornare **le impostazioni della versione dell'account Cross alla versione 4**.**
+ Prima di concedere autorizzazioni per più account su una risorsa Data Catalog, devi revocare tutte le autorizzazioni di Lake Formation dal `IAMAllowedPrincipals` gruppo per la risorsa. Se il principale chiamante dispone di autorizzazioni multiaccount per accedere a una risorsa e l'`IAMAllowedPrincipals`autorizzazione esiste sulla risorsa, Lake Formation lancia`AccessDeniedException`. 

  Questo requisito è applicabile solo quando si registra la posizione dei dati sottostante in modalità Lake Formation. Se si registra la posizione dei dati in modalità ibrida, le autorizzazioni di `IAMAllowedPrincipals` gruppo possono esistere sul database o sulla tabella condivisi. 
+  Per i database che contengono tabelle che si intende condividere, è necessario impedire che alle nuove tabelle venga assegnato di default `Super` a`IAMAllowedPrincipals`. Sulla console Lake Formation, modifica il database e disattiva **Usa solo il controllo di accesso IAM per le nuove tabelle in questo database** o inserisci il seguente AWS CLI comando, sostituendolo `database` con il nome del database. Se la posizione dei dati sottostante è registrata in modalità di accesso ibrida, non è necessario modificare questa impostazione predefinita. In modalità di accesso ibrido, Lake Formation consente di applicare selettivamente le autorizzazioni di Lake Formation e le politiche di autorizzazione IAM per Amazon S3 e sulla stessa risorsa. AWS Glue 

  ```
  aws glue update-database --name database --database-input '{"Name":"database","CreateTableDefaultPermissions":[]}'
  ```
+ Per concedere le autorizzazioni su più account, il concedente deve disporre delle autorizzazioni richieste (IAM) sul servizio. AWS Identity and Access Management AWS Glue AWS RAM La policy AWS `AWSLakeFormationCrossAccountManager` gestita concede le autorizzazioni richieste.

  Gli amministratori di Data Lake negli account che ricevono condivisioni di risorse utilizzando AWS RAM devono disporre della seguente politica aggiuntiva. Consente all'amministratore di accettare inviti alla condivisione AWS RAM delle risorse. Consente inoltre all'amministratore di abilitare la condivisione delle risorse con le organizzazioni.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "ram:AcceptResourceShareInvitation",
                  "ram:RejectResourceShareInvitation",
                  "ec2:DescribeAvailabilityZones",
                  "ram:EnableSharingWithAwsOrganization"
              ],
              "Resource": "*"
          }
      ]
  }
  ```

------
+ Se si desidera condividere le risorse di Data Catalog con le AWS Organizations nostre unità organizzative, è necessario abilitare la condivisione con le organizzazioni AWS RAM.

  Per informazioni su come abilitare la condivisione con le organizzazioni, consulta [Abilitare la condivisione con AWS le organizzazioni](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) nella *Guida per l'AWS RAM utente*.

  È necessario disporre dell'`ram:EnableSharingWithAwsOrganization`autorizzazione per abilitare la condivisione con le organizzazioni.
+ Per condividere le risorse direttamente con un responsabile IAM in un altro account, devi aggiornare **le impostazioni della versione dell'account Cross** alla **versione 3**. Questa impostazione è disponibile nella pagina delle **impostazioni del catalogo dati**. Se utilizzi la **versione 1**, consulta le istruzioni per aggiornare l'impostazione[Aggiornamento delle impostazioni della versione di condivisione dei dati tra account](optimize-ram.md).
+ Non è possibile condividere le risorse del Data Catalog crittografate con una chiave gestita dal AWS Glue servizio con un altro account. È possibile condividere solo le risorse del Data Catalog crittografate con la chiave di crittografia del cliente e l'account che riceve la condivisione delle risorse deve disporre delle autorizzazioni sulla chiave di crittografia del Data Catalog per decrittografare gli oggetti.

**Condivisione dei dati tra account utilizzando i requisiti LF-TBAC**
+  **Per condividere le risorse di Data Catalog con AWS Organizations le unità organizzative (OUs), devi aggiornare le **impostazioni della versione dell'account Cross alla versione 3** o successiva.** 
+ Per condividere le risorse di Data Catalog con la versione 3 delle **impostazioni della versione dell'account Cross**, il concedente deve disporre delle autorizzazioni IAM definite `AWSLakeFormationCrossAccountManager` nella politica AWS gestita del proprio account.
+ Se utilizzi la versione 1 o la versione 2 delle **impostazioni della versione dell'account Cross**, devi disporre di una politica delle risorse di Data Catalog (`glue:PutResourcePolicy`) che abiliti LF-TBAC. Per ulteriori informazioni, consulta [Gestione delle autorizzazioni tra account utilizzando sia Lake Formation che tramite Lake AWS Glue Formation](hybrid-cross-account.md).
+ Se attualmente utilizzi una politica delle risorse di AWS Glue Data Catalog per condividere risorse e desideri concedere autorizzazioni tra account utilizzando la versione 3 delle impostazioni della versione **Cross account, devi aggiungere l'`glue:ShareResource`autorizzazione nelle Impostazioni** del Data Catalog utilizzando l'operazione `glue:PutResourcePolicy` API, come mostrato nella sezione. [Gestione delle autorizzazioni tra account utilizzando sia Lake Formation che tramite Lake AWS Glue Formation](hybrid-cross-account.md) Questa politica non è richiesta se il tuo account non ha concesso concessioni tra account utilizzando la politica delle risorse di AWS Glue Data Catalog (`glue:PutResourcePolicy`autorizzazione all'uso delle versioni 1 e 2) per concedere l'accesso a più account. 

  ```
  {
        "Effect": "Allow",
        "Action": [
          "glue:ShareResource"
        ],
        "Principal": {"Service": [
          "ram.amazonaws.com"
        ]},
        "Resource": [
          "arn:aws:glue:<region>:<account-id>:table/*/*",
          "arn:aws:glue:<region>:<account-id>:database/*",
          "arn:aws:glue:<region>:<account-id>:catalog"
        ]
      }
  ```
+ Se il tuo account ha effettuato condivisioni tra account utilizzando la politica delle risorse di AWS Glue Data Catalog e attualmente utilizzi il metodo Named Resource o LF-TBAC con **impostazioni Cross account** versione 3 per condividere le risorse, che utilizza AWS RAM per condividere le risorse, devi impostare l'`EnableHybrid`argomento su quando richiami l'operazione API. `'true'` `glue:PutResourcePolicy` Per ulteriori informazioni, consulta [Gestione delle autorizzazioni tra account utilizzando sia Lake Formation che tramite Lake AWS Glue Formation](hybrid-cross-account.md).

**Configurazione richiesta in ogni account che accede alla risorsa condivisa**
+ Se condividi risorse con Account AWS, almeno un utente dell'account consumer deve essere un amministratore del data lake per visualizzare le risorse condivise. Per informazioni su come creare un amministratore di data lake, consulta[Crea un amministratore del data lake](initial-lf-config.md#create-data-lake-admin).

  L'amministratore del data lake può concedere le autorizzazioni di Lake Formation sulle risorse condivise ad altri responsabili dell'account. Gli altri responsabili non possono accedere alle risorse condivise finché l'amministratore del data lake non concede loro le autorizzazioni sulle risorse.
+ I servizi integrati come Athena e Redshift Spectrum richiedono collegamenti alle risorse per poter includere risorse condivise nelle query. I responsabili devono creare un collegamento di risorsa nel proprio catalogo dati a una risorsa condivisa da un'altra risorsa. Account AWS Per ulteriori informazioni sui collegamenti alle risorse, consulta[Come funzionano i link alle risorse in Lake Formation](resource-links-about.md).
+ Quando una risorsa viene condivisa direttamente con un principale IAM, per interrogare la tabella utilizzando Athena, il principale deve creare un collegamento alla risorsa. Per creare un collegamento a una risorsa, il principale necessita dell'`CREATE_DATABASE`autorizzazione `CREATE_TABLE` o del Lake Formation e dell'autorizzazione `glue:CreateTable` o `glue:CreateDatabase` IAM.

  Se l'account produttore condivide una tabella diversa dello stesso database con lo stesso principale o con un altro principale, tale principale può interrogare immediatamente la tabella.

**Nota**  
Per l'amministratore del data lake e per i responsabili a cui l'amministratore del data lake ha concesso le autorizzazioni, le risorse condivise vengono visualizzate nel Data Catalog come se fossero risorse locali (di proprietà). I job di estrazione, trasformazione e caricamento (ETL) possono accedere ai dati sottostanti delle risorse condivise.  
Per le risorse condivise, le pagine **Tabelle** e **database** della console Lake Formation visualizzano l'ID dell'account del proprietario.  
Quando si accede ai dati sottostanti di una risorsa condivisa, gli eventi di CloudTrail registro vengono generati sia nell'account del destinatario della risorsa condivisa che nell'account del proprietario della risorsa. Gli CloudTrail eventi possono contenere l'ARN del principale che ha avuto accesso ai dati, ma solo se l'account del destinatario sceglie di includere l'ARN principale nei registri. Per ulteriori informazioni, consulta [Registrazione su più account CloudTrail](cross-account-logging.md).

# Aggiornamento delle impostazioni della versione di condivisione dei dati tra account
<a name="optimize-ram"></a>

 Di tanto in tanto, AWS Lake Formation aggiorna le impostazioni di condivisione dei dati tra account per distinguere le modifiche apportate all' AWS RAM utilizzo e per supportare gli aggiornamenti apportati alla funzionalità di condivisione dei dati tra account. Quando Lake Formation esegue questa operazione, crea una nuova versione delle **impostazioni della versione dell'account Cross**. 

## Principali differenze tra le impostazioni delle versioni per più account
<a name="cross-account-version-diff"></a>

Per ulteriori informazioni su come funziona la condivisione dei dati tra account in diverse **impostazioni di versione di Cross account**, consulta le seguenti sezioni.

**Nota**  
Per condividere i dati con un altro account, il concedente deve avere `AWSLakeFormationCrossAccountManager` gestito le autorizzazioni relative alla policy IAM. Questo è un prerequisito per tutte le versioni.  
L'aggiornamento delle **impostazioni della versione dell'account Cross** non influisce sulle autorizzazioni del destinatario sulle risorse condivise. Ciò è applicabile quando si esegue l'aggiornamento dalla versione 1 alla versione 2, dalla versione 2 alla versione 3 e dalla versione 1 alla versione 3. Per l'aggiornamento delle versioni, consulta le considerazioni elencate di seguito. 

**Versione 1**  
*Metodo di risorsa denominato:* associa ogni autorizzazione concessa tra account Lake Formation a una condivisione di AWS RAM risorse. L'utente (concedente, ruolo o responsabile) non richiede autorizzazioni aggiuntive.  
*Metodo LF-TBAC: le concessioni di autorizzazioni di Lake Formation tra account* non vengono utilizzate per condividere dati. AWS RAM L'`glue:PutResourcePolicy`utente deve avere l'autorizzazione.  
*Vantaggi dell'aggiornamento delle versioni:* versione iniziale, non applicabile.  
*Considerazioni sull'aggiornamento delle versioni:* Versione iniziale - non applicabile

**Versione 2**  
*Metodo della risorsa denominata:* ottimizza il numero di condivisioni di AWS RAM risorse mappando più concessioni di autorizzazioni tra account con un'unica condivisione di risorse. AWS RAM L'utente non richiede autorizzazioni aggiuntive.  
*Metodo LF-TBAC: le concessioni di autorizzazioni di Lake Formation tra account* non vengono utilizzate per condividere dati. AWS RAM L'`glue:PutResourcePolicy`utente deve avere l'autorizzazione.  
*Vantaggi dell'aggiornamento delle versioni:* configurazione scalabile tra più account grazie all'utilizzo ottimale della capacità. AWS RAM   
*Considerazioni sull'aggiornamento delle versioni:* gli utenti che desiderano concedere le autorizzazioni Lake Formation su più account devono disporre delle autorizzazioni nella politica gestita. `AWSLakeFormationCrossAccountManager` AWS Altrimenti, sono necessari i `ram:DisassociateResourceShare` permessi necessari per condividere correttamente `ram:AssociateResourceShare` le risorse con un altro account.

**Versione 3**  
*Metodo della risorsa denominata:* ottimizza il numero di condivisioni di AWS RAM risorse mappando più concessioni di autorizzazioni tra account con un'unica condivisione di risorse. AWS RAM L'utente non richiede autorizzazioni aggiuntive.  
*Metodo LF-TBAC: Lake Formation* utilizza AWS RAM per le sovvenzioni tra account. L'utente deve aggiungere la dichiarazione glue: all'autorizzazione. ShareResource `glue:PutResourcePolicy` Il destinatario deve accettare gli inviti alla condivisione delle risorse da AWS RAM.  
*Vantaggi dell'aggiornamento delle versioni:* supporta le seguenti funzionalità:  
+ Consente di condividere le risorse in modo esplicito con un principale IAM in un account esterno.

  Per ulteriori informazioni, consulta [Concessione delle autorizzazioni per le risorse del Data Catalog](granting-catalog-permissions.md).
+ Abilita le condivisioni tra account utilizzando il metodo LF-TBAC per Organizzazioni o unità organizzative (). OUs
+ Elimina il sovraccarico derivante dal mantenimento di politiche aggiuntive per le sovvenzioni tra account. AWS Glue 
*Considerazioni sull'aggiornamento delle versioni:* quando si utilizza il metodo LF-TBAC per condividere risorse, se il concedente utilizza una versione precedente alla versione 3 e il destinatario utilizza la versione 3 o successiva, il concedente riceve il seguente messaggio di errore: «Richiesta di concessione tra account non valida. L'account consumer dispone della versione opt-in per più account: v3. Effettua l'aggiornamento `CrossAccountVersion` `DataLakeSetting` alla versione minima v3 (Servizio: AmazonDataCatalog; Codice di stato: 400; Codice di errore: InvalidInputException)». Tuttavia, se il concedente utilizza la versione 3 e il destinatario utilizza la versione 1 o la versione 2, le sovvenzioni tra account diversi che utilizzano i tag LF vanno a buon fine.  
Le sovvenzioni tra account effettuate utilizzando il metodo della risorsa denominata sono compatibili tra diverse versioni. Anche se l'account concedente utilizza una versione precedente (versione 1 o 2) e l'account del destinatario utilizza una versione più recente (versione 3 o successiva), la funzionalità di accesso tra account funziona senza problemi di compatibilità o errori.  
Per condividere le risorse direttamente con i responsabili IAM di un altro account, solo il concedente deve utilizzare la versione 3.  
Le sovvenzioni tra account effettuate utilizzando il metodo LF-TBAC richiedono agli utenti di disporre di una politica delle risorse nell'account. AWS Glue Data Catalog Quando si esegue l'aggiornamento alla versione 3, LF-TBAC concede gli utilizzi. AWS RAM Per consentire l'esecuzione delle sovvenzioni AWS RAM basate su più account, è necessario aggiungere la `glue:ShareResource` dichiarazione alle politiche esistenti in materia di risorse del Data Catalog, come mostrato nella sezione. [Gestione delle autorizzazioni tra account utilizzando sia Lake Formation che tramite Lake AWS Glue Formation](hybrid-cross-account.md) 

**Versione 4**  
Il concedente necessita della versione 4 o successiva per condividere le risorse di Data Catalog in modalità di accesso ibrido o condividere oggetti in un catalogo federato.

**Versione 5**  
La versione 5 di Cross Account migliora la condivisione delle risorse tra account, consentendoti di condividere un numero illimitato di tabelle con un altro account, eliminando i precedenti limiti di associazione delle risorse per tipo di risorsa. Per iniziare, esegui l'upgrade alla versione 5 per più account tramite la console o l'API di Lake Formation. Qualsiasi nuova concessione di autorizzazioni tra account utilizzerà automaticamente modelli di caratteri jolly nella condivisione delle risorse anziché singole associazioni di risorse. Tutte le condivisioni esistenti tra account continuano a funzionare e tutte le Lake Formation esistenti APIs rimangono compatibili.  
*Vantaggi dell'aggiornamento delle versioni:* Cross-account v5 migliora la condivisione tra account, consentendoti di condividere centinaia di migliaia di tabelle tra account.  
*Considerazioni relative all'aggiornamento delle versioni: le* nuove sovvenzioni dopo l'aggiornamento alla versione 5 aggiungeranno modelli di risorse jolly alle condivisioni di AWS risorse esistenti di Resource Manager o creeranno nuove condivisioni con pattern jolly. Una volta eseguito l'aggiornamento alla versione 5, il downgrade non è supportato.

## Ottimizza la condivisione delle risorse AWS RAM
<a name="optimize-version"></a>

Le nuove versioni (versione 2 e successive) delle sovvenzioni tra account utilizzano in modo ottimale la AWS RAM capacità per massimizzare l'utilizzo tra account. Quando condividi una risorsa con un responsabile IAM Account AWS o esterno, Lake Formation può creare una nuova condivisione di risorse o associare la risorsa a una condivisione esistente. Associandosi alle azioni esistenti, Lake Formation riduce il numero di inviti alla condivisione delle risorse che un consumatore deve accettare. La versione 5 ottimizza ulteriormente l'utilizzo della RAM utilizzando modelli di risorse basati su wildcard anziché singole associazioni di risorse, riducendo così in modo significativo le associazioni di risorse per condivisione di risorse.

## Abilita AWS RAM le condivisioni tramite TBAC o condividi le risorse direttamente con i principali
<a name="ram-tbac-direct-iam-version"></a>

Per condividere le risorse direttamente con i responsabili IAM in un altro account o per abilitare le condivisioni TBAC tra account su Organizations o unità organizzative, devi aggiornare **le impostazioni della versione Cross account alla versione 3**. Per ulteriori informazioni sui limiti delle AWS RAM risorse, consulta. [Buone pratiche e considerazioni sulla condivisione dei dati tra account](cross-account-notes.md)

### Autorizzazioni necessarie per l'aggiornamento delle impostazioni delle versioni tra account
<a name="req-permissions-version-update"></a>

 Se un concedente di autorizzazioni su più account ha `AWSLakeFormationCrossAccountManager` gestito le autorizzazioni relative alle policy IAM, non è richiesta alcuna configurazione aggiuntiva delle autorizzazioni per il ruolo o il responsabile del concedente delle autorizzazioni su più account. Tuttavia, se il concedente che concede più account non utilizza la policy gestita, affinché la nuova versione della concessione tra più account abbia successo, al ruolo o al responsabile del concedente devono essere concesse le seguenti autorizzazioni IAM.

------
#### [ JSON ]

****  

```
  
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
         "ram:AssociateResourceShare",
         "ram:DisassociateResourceShare",
         "ram:GetResourceShares"
       ],
     "Resource": "*",
     "Condition": {
       "StringLike": {
         "ram:ResourceShareName": "LakeFormation*"
        }
      }
    }
  ]
}
```

------

## Per abilitare la nuova versione
<a name="version-update-steps"></a>

Segui questi passaggi per aggiornare **le impostazioni della versione dell'account Cross** tramite la AWS Lake Formation console o il AWS CLI.

------
#### [ Console ]

1. Scegli **la versione 2**, la **versione 3**, la **versione 4** o la **versione 5** nelle **impostazioni della versione dell'account Cross** nella pagina **delle impostazioni del catalogo dati**. Se selezioni la **versione 1**, Lake Formation utilizzerà la modalità di condivisione delle risorse predefinita.   
![\[La schermata mostra le autorizzazioni per tutti i tag LF presenti nell'account.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/cross-account-version-setting.png)

1. Scegli **Save** (Salva).

------
#### [ AWS Command Line Interface (AWS CLI) ]

Utilizzate il `put-data-lake-settings` AWS CLI comando per impostare il parametro. `CROSS_ACCOUNT_VERSION` I valori accettati sono 1, 2, 3, 4 e 5.

```
aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
    "DataLakeAdmins": [
        {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/test"
        }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "Parameters": {
        "CROSS_ACCOUNT_VERSION": "3"
    }
}
```

------

**Importante**  
Dopo aver scelto la **versione 2** o la **versione 3**, tutte le nuove sovvenzioni per **risorse denominate** passeranno attraverso la nuova modalità di concessione tra account. Per utilizzare in modo ottimale la AWS RAM capacità delle condivisioni esistenti su più account, ti consigliamo di revocare le sovvenzioni concesse con la versione precedente e di riassegnarle nella nuova modalità.

# Condivisione delle tabelle e dei database del Data Catalog tra i nostri principali IAM provenienti Account AWS da account esterni
<a name="cross-account-data-share-steps"></a>

Questa sezione include istruzioni su come concedere autorizzazioni multiaccount sulle risorse di Data Catalog a un AWS account esterno, un responsabile IAM, un' AWS organizzazione o un'unità organizzativa. L'operazione di concessione condivide automaticamente tali risorse. 

**Topics**
+ [Condivisione dei dati tramite controllo degli accessi basato su tag](cross-account-TBAC.md)
+ [Condivisione dei dati tra account utilizzando il metodo della risorsa denominato](cross-account-named-resource.md)

# Condivisione dei dati tramite controllo degli accessi basato su tag
<a name="cross-account-TBAC"></a>

AWS Lake Formation il controllo degli accessi basato su tag (LF-TBAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. I passaggi seguenti spiegano come concedere le autorizzazioni per più account utilizzando i tag LF. 

**Configurazione obbligatoria sull'account producer/grantor**

1. Aggiungi tag LF.

   1. Accedi alla console di Lake Formation come amministratore di data lake o creatore di tag LF.

   1. Nella barra di navigazione a sinistra, scegli Autorizzazioni e ****LF-Tag** e autorizzazioni**.

   1. **Scegli Aggiungi tag LF.**

      Per istruzioni dettagliate sulla creazione di tag LF, consulta. [Creazione di tag LF](TBAC-creating-tags.md)

1. Concedi le autorizzazioni **Descrivi and/or ** **Associate** le coppie **chiave-valore LF-Tag** ai principali IAM del tuo account o degli account esterni.

   La concessione delle autorizzazioni sulle coppie **chiave-valore LF-Tag consente ai principali di visualizzare i tag** LF e di assegnarli alle risorse del Data Catalog (database, tabelle e colonne).

1. Successivamente, l'amministratore del data lake o un responsabile IAM con autorizzazione **Associate** può assegnare il tag LF a database, tabelle o colonne. Per ulteriori informazioni, consulta [Assegnazione di tag LF alle risorse del Data Catalog](TBAC-assigning-tags.md).

1. Successivamente, concedi l'autorizzazione ai dati agli account esterni utilizzando le espressioni LF-Tag. Ciò consente al beneficiario o al destinatario delle autorizzazioni di accedere alle risorse del Data Catalog contrassegnate con le stesse chiavi e valori.

   1. **Nel riquadro di navigazione, scegli Autorizzazioni e **Autorizzazioni dati**.**

   1. Scegliere **Concedi**.

   1. Nella pagina **Concedi autorizzazioni**, per **Principal**, scegli **Account esterni** e inserisci l' Account AWS ID del beneficiario o il ruolo IAM del principale o l'Amazon Resource Name (ARN) per il principale (ARN principale) se effettui una concessione diretta tra account a un principale esterno. **Devi premere Invio dopo aver inserito l'ID dell'account.**  
![\[La schermata di concessione dell'autorizzazione con l'account esterno e le coppie chiave-valore del tag LF specificate.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/cross-acct-grant-tags.png)

   1. Per i **tag LF o le risorse del catalogo, scegliete Risorse** **abbinate** ai tag LF (consigliato). 

      1. **Scegliete l'opzione Coppie chiave-valore del tag **LF o Espressioni di tag LF salvate**.**

      1. **Se scegliete le **coppie chiave-valore del tag LF**, inserite la chiave e i valori del **tag LF** associato alla risorsa** Data Catalog condivisa con l'account beneficiario. 

         Al beneficiario vengono concesse le autorizzazioni sulle risorse del Data Catalog a cui è stato assegnato un tag LF corrispondente nell'espressione LF-Tag. Se l'espressione LF-Tag specifica più valori per chiave di tag, uno qualsiasi dei valori del tag può corrispondere. 

   1. Scegliete le autorizzazioni a livello di database o di tabella da concedere alle risorse che corrispondono all'espressione LF-Tag.
**Importante**  
Poiché l'amministratore del data lake deve concedere le autorizzazioni sulle risorse condivise ai responsabili dell'account beneficiario, devi sempre concedere le autorizzazioni su più account con l'opzione di concessione. 

      Per ulteriori informazioni, consulta [Concessione delle autorizzazioni LF-Tag tramite la console](TBAC-granting-tags-console.md).
**Nota**  
**I mandanti che ricevono sovvenzioni dirette su più account non avranno l'opzione Autorizzazioni concesse.**

**Configurazione obbligatoria sull'account receiving/grantee**

1. Accedi alla console di Lake Formation come amministratore del data lake dell'account consumatore.

1.  Successivamente, ricevi la condivisione delle risorse nell'account consumatore. 

   1.  Apri la AWS RAM console. 

   1.  Nel riquadro di navigazione, in **Condivisi con me**, scegli **Condivisioni di risorse**.

   1.  Seleziona le condivisioni di risorse, scegli **Accetta condivisione di risorse**. 

1. Quando condividi una risorsa con un altro account, la risorsa appartiene ancora all'account del produttore e non è visibile nella console Athena. Per rendere visibile la risorsa nella console Athena, devi creare un link alla risorsa che punti alla risorsa condivisa. Per istruzioni sulla creazione di un collegamento a una risorsa, consulta e [Creazione di un collegamento di risorsa a una tabella condivisa del Catalogo dati](create-resource-link-table.md) [Creazione di un collegamento di risorsa a un database Data Catalog condiviso](create-resource-link-database.md)

   1.  Scegli **Database** o **Tabelle** nel Catalogo dati.

   1. Nella Databases/Tables pagina, scegli **Crea**, **Link alle risorse**. 

   1. Inserisci le seguenti informazioni per un collegamento alla risorsa del database:
      + **Nome del link alla risorsa**: un nome univoco per il link alla risorsa.
      + **Catalogo di destinazione**: il catalogo in cui stai creando il link alla risorsa. 
      + **Regione del database condivisa**: la regione del database condivisa con te se stai creando il link alla risorsa in un'altra regione.
      + **Database condiviso**: scegli il database condiviso.
      + **ID di catalogo del database condiviso**: immettere l'ID del catalogo per il database condiviso.

   1.  Scegli **Create** (Crea). È possibile visualizzare il collegamento alla risorsa appena creato nell'elenco dei database. 

   Allo stesso modo, è possibile creare un collegamento di risorsa a una tabella condivisa.

1. Ora concedi l'autorizzazione **Descrivi** sul link della risorsa ai principali IAM con cui condividi la risorsa.

   1. **Nella pagina **Database/Tabelle**, seleziona il link alla risorsa e nel menu **Azioni** scegli Concedi.** 

   1. Nella sezione **Concedi autorizzazioni**, seleziona Utenti e ruoli **IAM**.

   1. Scegli il ruolo IAM a cui desideri concedere l'accesso al link della risorsa.

   1. Nella sezione Autorizzazioni del **collegamento alle risorse**, seleziona **Descrivi**.

   1. Scegliere **Concedi**.

1. Successivamente, concedi le **autorizzazioni chiave-valore di LF-Tag ai principali** dell'account consumatore.

   Dovresti essere in grado di trovare i tag LF condivisi con te nell'account utente sulla console di Lake Formation, sotto **Autorizzazioni, **LF-tags** e permessi**. Puoi associare i tag condivisi dal concedente alle risorse condivise dall'account concedente che includono: database, tabelle e colonne. È possibile concedere ulteriormente le autorizzazioni sulle risorse ad altri responsabili.  
![\[La schermata mostra le autorizzazioni per i tag LF nell'account.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/lf-tag-permissions.png)

   1.  **Nel pannello di navigazione, in Autorizzazioni, **Autorizzazioni** **dati, scegli Concedi**.** 

   1.  Nella pagina **Concedi autorizzazioni**, scegli **Utenti e ruoli IAM**. 

   1. Quindi, scegli gli utenti e i ruoli IAM nel tuo account a cui concedere l'accesso ai database/tabelle condivisi.

   1. **Successivamente, per i tag **LF o le risorse del catalogo, scegli Risorse abbinate ai tag** LF.**

   1.  Quindi, scegli la chiave e i valori del tag LF che è condiviso con te. 

   1.  Quindi, scegli le autorizzazioni per database e tabelle che desideri concedere agli utenti e ai ruoli IAM. Puoi anche scegliere le **autorizzazioni Grantable che consentono agli utenti e ai ruoli IAM di concedere autorizzazioni** ad altri utenti/ruoli. 

   1.  Scegliere **Concedi**. 

   1. Puoi visualizzare le autorizzazioni concesse in **Autorizzazioni dati** sulla console Lake Formation.

# Condivisione dei dati tra account utilizzando il metodo della risorsa denominato
<a name="cross-account-named-resource"></a>

È possibile concedere le autorizzazioni direttamente ai responsabili di un altro AWS account o a utenti esterni o. Account AWS AWS Organizations Concedere i permessi di Lake Formation a Organizzazioni o unità organizzative equivale a concedere il permesso Account AWS a tutti i membri di quell'organizzazione o unità organizzativa. 

**Quando concedi autorizzazioni ad account o organizzazioni esterne, devi includere l'opzione Autorizzazioni concedibili.** Solo l'amministratore del data lake dell'account esterno può accedere alle risorse condivise finché l'amministratore non concede le autorizzazioni sulle risorse condivise ad altri responsabili dell'account esterno.

**Nota**  
**L'opzione delle autorizzazioni concedibili** non è supportata quando si concedono le autorizzazioni direttamente ai principali IAM da account esterni.

Segui le istruzioni per concedere le autorizzazioni [Concessione delle autorizzazioni al database tramite il metodo delle risorse denominate](granting-database-permissions.md) per più account utilizzando il metodo di risorsa denominato.

 Il video seguente mostra come condividere dati con un' AWS organizzazione utilizzando Lake Formation. 

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/S-Mdcmq6oPM?controls=0&/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/S-Mdcmq6oPM?controls=0&)


# Concessione delle autorizzazioni su un database o una tabella condivisa con il tuo account
<a name="regranting-shared-resources"></a>

Dopo che una risorsa Data Catalog appartenente a un altro AWS account è stata condivisa con il tuo AWS account, in qualità di amministratore del data lake, puoi concedere le autorizzazioni sulla risorsa condivisa ad altri responsabili del tuo account. Tuttavia, non puoi concedere le autorizzazioni sulla risorsa ad altri AWS account o organizzazioni.

Puoi utilizzare la AWS Lake Formation console, l'API o AWS Command Line Interface (AWS CLI) per concedere le autorizzazioni.

**Per concedere le autorizzazioni su un database condiviso (denominato metodo di risorsa, console)**
+ Segui le istruzioni in [Concessione delle autorizzazioni al database tramite il metodo delle risorse denominate](granting-database-permissions.md). Nell'elenco dei **database** sotto i **tag LF o le risorse del catalogo**, assicuratevi di selezionare il database nell'account esterno, non un collegamento alla risorsa per il database.

  Se non vedi il database nell'elenco dei database, assicurati di aver accettato l'invito AWS Resource Access Manager (AWS RAM) alla condivisione delle risorse per il database. Per ulteriori informazioni, consulta [Accettazione di un invito alla condivisione di risorse da AWS RAM](accepting-ram-invite.md).

  Inoltre, per le `ALTER` autorizzazioni `CREATE_TABLE` e, segui le istruzioni riportate in [Concessione delle autorizzazioni per la localizzazione dei dati (stesso account)](granting-location-permissions-local.md) e assicurati di inserire l'ID dell'account proprietario nel campo **Ubicazione dell'account registrato**.

**Per concedere le autorizzazioni su una tabella condivisa (metodo di risorsa denominato, console)**
+ Segui le istruzioni in [Concessione delle autorizzazioni per le tabelle utilizzando il metodo di risorsa denominato](granting-table-permissions.md). Nell'elenco dei **database** sotto i **tag LF o le risorse del catalogo**, assicuratevi di selezionare il database nell'account esterno, non un collegamento alla risorsa per il database.

  Se non vedi la tabella nell'elenco delle tabelle, assicurati di aver accettato l'invito alla condivisione delle AWS RAM risorse per la tabella. Per ulteriori informazioni, consulta [Accettazione di un invito alla condivisione di risorse da AWS RAM](accepting-ram-invite.md).

  Inoltre, per l'`ALTER`autorizzazione, segui le istruzioni riportate e assicurati di inserire l'ID dell'account proprietario nel campo **Ubicazione dell'account registrato**. [Concessione delle autorizzazioni per la localizzazione dei dati (stesso account)](granting-location-permissions-local.md)

**Per concedere autorizzazioni su risorse condivise (metodo LF-TBAC, console)**
+ Segui le istruzioni in [Concessione delle autorizzazioni per Data Catalog](granting-catalog-perms-TBAC.md#granting-cat-perms-TBAC-console). Nella sezione **LF-Tag o risorse del catalogo**, concedi l'espressione esatta del tag LF che l'account esterno ha concesso al tuo account o un sottoinsieme di quell'espressione.

  Ad esempio, se un account esterno ha concesso l'espressione LF-Tag `module=customers AND environment=production` al vostro account con l'opzione di concessione, in qualità di amministratore del data lake, potete concedere la stessa espressione `module=customers` o `environment=production` a un responsabile del vostro account. È possibile concedere solo le stesse autorizzazioni o un sottoinsieme delle autorizzazioni di Lake Formation (ad esempio, `SELECT``ALTER`, e così via) concesse alle risorse tramite l'espressione LF-Tag.

**Per concedere le autorizzazioni su una tabella condivisa (metodo denominato resource,) AWS CLI**
+ Utilizzare un comando simile al seguente: In questo esempio:
  + L'ID del tuo AWS account è 1111-2222-3333.
  + L'account proprietario della tabella e che l'ha concessa al tuo account è 1234-5678-9012.
  + L'`SELECT`autorizzazione sulla tabella condivisa viene concessa all'utente. `pageviews` `datalake_user1` Quell'utente è il principale del tuo account.
  + La `pageviews` tabella si trova nel `analytics` database, di proprietà dell'account 1234-5678-9012.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "Table": {"CatalogId":"123456789012", "DatabaseName":"analytics", "Name":"pageviews"}}'
  ```

  Si noti che l'account proprietario deve essere specificato nella proprietà dell'argomento. `CatalogId` `resource`

# Concessione delle autorizzazioni per i collegamenti alle risorse
<a name="granting-link-permissions"></a>

Segui questi passaggi per concedere AWS Lake Formation le autorizzazioni su uno o più link di risorse a un responsabile del tuo account. AWS 

Dopo aver creato un link a una risorsa, solo tu puoi visualizzarlo e accedervi. (Ciò presuppone che il **controllo di accesso Use only IAM per le nuove tabelle in questo database** non sia abilitato per il database.) Per consentire agli altri responsabili del tuo account di accedere al link alla risorsa, concedi almeno l'`DESCRIBE`autorizzazione.

**Importante**  
La concessione delle autorizzazioni su un collegamento a una risorsa non concede le autorizzazioni sulla tabella o sul database di destinazione (collegato). È necessario concedere le autorizzazioni sulla destinazione separatamente.

Puoi concedere le autorizzazioni utilizzando la console Lake Formation, l'API o AWS Command Line Interface (AWS CLI).

------
#### [ console ]

**Per concedere le autorizzazioni per i collegamenti alle risorse utilizzando la console Lake Formation**

1. Esegui una delle seguenti operazioni:
   + Per i collegamenti alle risorse del database, segui la procedura riportata in[Concessione delle autorizzazioni al database tramite il metodo delle risorse denominate](granting-database-permissions.md). Per effettuare le seguenti operazioni:

     1.  Seleziona il collegamento alla risorsa dall'elenco dei database in Data Catalog, **Databases**. 

     1.  Scegli **Concedi** per aprire la pagina **Concedi le autorizzazioni**.

     1.  Specificate i principali per concedere le autorizzazioni.

     1.  I campi **Cataloghi** e **Database vengono** compilati.
   + Per i collegamenti alle risorse delle tabelle, procedi nel [Concessione delle autorizzazioni per le tabelle utilizzando il metodo di risorsa denominato](granting-table-permissions.md) seguente modo:

     1.  Seleziona il collegamento alla risorsa dall'elenco delle tabelle in Data Catalog, **Tabelle**.

     1. Apri la pagina **Concedi le autorizzazioni**.

     1.  Specificare i principali.

     1.  I campi **Cataloghi**, **Database**, **Tabelle** vengono compilati.

     1.  Specificare i principali.

1. In **Autorizzazioni, seleziona le autorizzazioni** da concedere. Facoltativamente, seleziona autorizzazioni concedibili.  
![\[La sezione Autorizzazioni contiene un singolo riquadro. I riquadri dispongono di un gruppo di caselle di controllo per la concessione delle autorizzazioni relative ai collegamenti alle risorse. Le caselle di controllo includono Drop e Descrivi. Sotto quel gruppo c'è un altro gruppo con le stesse caselle di controllo per le autorizzazioni concesse.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-resource-link-permissions-TBAC.png)

1. Scegliere **Concedi**.

------
#### [ AWS CLI ]

**Per concedere le autorizzazioni per i collegamenti alle risorse utilizzando AWS CLI**
+ Esegui il `grant-permissions` comando, specificando un link alla risorsa come risorsa.  
**Example**  

  Questo esempio concede `DESCRIBE` all'utente `datalake_user1` sulla tabella il collegamento alla risorsa nel database `incidents-link` `issues` nell' AWS account 1111-2222-3333.

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Table": {"DatabaseName":"issues", "Name":"incidents-link"}}'
  ```

------

**Consulta anche:**  
 [Creazione di collegamenti alle risorse](creating-resource-links.md) 
 [Riferimento alle autorizzazioni di Lake Formation](lf-permissions-reference.md) 

# Accesso ai dati sottostanti di una tabella condivisa
<a name="cross-account-read-data"></a>

Supponiamo che l' AWS account A condivida una tabella del catalogo dati con l'account B, ad esempio concedendo l'opzione di concessione `SELECT` sulla tabella all'account B. Affinché un responsabile dell'account B sia in grado di leggere i dati sottostanti della tabella condivisa, devono essere soddisfatte le seguenti condizioni:
+ L'amministratore del data lake dell'account B deve accettare la condivisione. (Questo non è necessario se gli account A e B fanno parte della stessa organizzazione o se la concessione è stata concessa con il metodo di controllo degli accessi basato su tag Lake Formation.)
+ L'amministratore del data lake deve concedere nuovamente al principale l'`SELECT`autorizzazione Lake Formation concessa dall'account A sulla tabella condivisa.
+ Il principale deve disporre delle seguenti autorizzazioni IAM sulla tabella, sul database che la contiene e sull'account A Data Catalog.
**Nota**  
Nella seguente politica IAM:  
Sostituisci *<account-id-A>* con l' AWS ID dell'account A.
Sostituisci *<region>* con una regione valida.
Sostituisci *<database>* con il nome del database nell'account A che contiene la tabella condivisa.
Sostituisci *<table>* con il nome della tabella condivisa.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "glue:GetTable",
              "glue:GetTables",
              "glue:GetPartition",
              "glue:GetPartitions",
              "glue:BatchGetPartition",
              "glue:GetDatabase",
              "glue:GetDatabases"
             ],
             "Resource": [
              "arn:aws:glue:us-east-1:111122223333:table/<database>/<table>",
              "arn:aws:glue:us-east-1:111122223333:database/<database>",
              "arn:aws:glue:us-east-1:111122223333:catalog"
             ]
          },
          {
            "Effect": "Allow",
            "Action": [
              "lakeformation:GetDataAccess"
             ],
            "Resource": [
              "*"
             ]
      }
     ]
  }
  ```

------

**Consulta anche:**  
[Accettazione di un invito alla condivisione di risorse da AWS RAM](accepting-ram-invite.md)

# Registrazione su più account CloudTrail
<a name="cross-account-logging"></a>

Lake Formation fornisce un audit trail centralizzato di tutti gli accessi tra account ai dati nel tuo data lake. Quando un AWS account destinatario accede ai dati in una tabella condivisa, Lake Formation copia l' CloudTrail evento nei log dell' CloudTrail account proprietario. Gli eventi copiati includono interrogazioni sui dati da parte di servizi integrati come Amazon Redshift Spectrum Amazon Athena e accessi ai dati tramite processi. AWS Glue

CloudTrail gli eventi per le operazioni tra account sulle risorse di Data Catalog vengono copiati in modo analogo.

In qualità di proprietario delle risorse, se abiliti la registrazione a livello di oggetto in Amazon S3, puoi eseguire query che uniscono gli eventi S3 agli eventi di Lake CloudTrail Formation per determinare CloudTrail gli account che hanno avuto accesso ai tuoi bucket S3.

**Topics**
+ [Inclusione delle identità principali nei log di più account CloudTrail](#cross-account-logging-optin)
+ [Interrogazione dei CloudTrail log per l'accesso a più account Amazon S3](#cross-account-logging-s3)

## Inclusione delle identità principali nei log di più account CloudTrail
<a name="cross-account-logging-optin"></a>

Per impostazione predefinita, gli CloudTrail eventi tra account aggiunti ai log del destinatario della risorsa condivisa e copiati nei log del proprietario della risorsa contengono solo l'ID AWS principale dell'account esterno, non il nome Amazon Resource Name (ARN) leggibile dall'uomo del principale (ARN principale). Quando condividi risorse all'interno di confini affidabili, ad esempio all'interno della stessa organizzazione o team, puoi scegliere di includere l'ARN principale negli CloudTrail eventi. Gli account dei proprietari delle risorse possono quindi tenere traccia dei principali account dei destinatari che accedono alle risorse di proprietà.

**Importante**  
In qualità di destinatario di risorse condivise, per visualizzare l'ARN principale negli eventi nei propri CloudTrail registri, è necessario scegliere di condividere l'ARN principale con l'account del proprietario.  
Se l'accesso ai dati avviene tramite un collegamento alle risorse, nell'account del destinatario della risorsa condivisa vengono registrati due eventi: uno per l'accesso al collegamento alle risorse e uno per l'accesso alla risorsa di destinazione. L'evento per l'accesso al link di risorsa *include* l'ARN principale. L'evento per l'accesso alle risorse di destinazione non include l'ARN principale senza l'opt-in. L'evento di accesso al collegamento alle risorse non viene copiato nell'account del proprietario.

Di seguito è riportato un estratto di un CloudTrail evento predefinito tra più account (senza opt-in). L'account che esegue l'accesso ai dati è 1111-2222-3333. Questo è il registro visualizzato sia nell'account chiamante che nell'account del proprietario della risorsa. Lake Formation compila i log in entrambi gli account nel caso di più account.

```
{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession",
        "accountId": "111122223333"
    },
    "eventSource": "lakeformation.amazonaws.com",
    "eventName": "GetDataAccess",
...
...
    "additionalEventData": {
        "requesterService": "GLUE_JOB",
        "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2"
    },
...
}
```

In qualità di consumatore di risorse condivise, quando scegli di includere l'ARN principale, l'estratto diventa il seguente. Il `lakeFormationPrincipal` campo rappresenta il ruolo finale o l'utente che esegue la query tramite Amazon Athena, Amazon Redshift Spectrum o job. AWS Glue

```
{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession",
        "accountId": "111122223333"
    },
    "eventSource": "lakeformation.amazonaws.com",
    "eventName": "GetDataAccess",
...
...
    "additionalEventData": {
        "requesterService": "GLUE_JOB",
        "lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role",
        "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2"
    },
...
}
```

**Per attivare l'inclusione del principale ARNs nei log di più account CloudTrail**

1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Accedi come `Administrator` utente o come utente con la policy `Administrator Access` IAM.

1. Nel pannello di navigazione scegli **Impostazioni**.

1. Nella pagina **delle impostazioni del catalogo dati**, nella AWS CloudTrail sezione **Autorizzazioni predefinite per**, per **Proprietari delle risorse**, inserisci uno o più account IDs del proprietario della AWS risorsa.

   Premi **Invio** dopo ogni ID account.

1. Scegli **Save** (Salva).

   Ora CloudTrail gli eventi tra account archiviati nei log sia per il destinatario della risorsa condivisa che per il proprietario della risorsa contengono l'ARN principale.

## Interrogazione dei CloudTrail log per l'accesso a più account Amazon S3
<a name="cross-account-logging-s3"></a>

In qualità di proprietario di risorse condivise, puoi interrogare CloudTrail i log di S3 per determinare gli account che hanno avuto accesso ai tuoi bucket Amazon S3 (a condizione che tu abbia abilitato la registrazione a livello di oggetto in Amazon S3). Questo vale solo per le sedi S3 che hai registrato con Lake Formation. Se i consumatori di risorse condivise scelgono di includere il principal ARNs nei CloudTrail log di Lake Formation, puoi determinare i ruoli o gli utenti che hanno avuto accesso ai bucket.

Quando esegui query con Amazon Athena, puoi unire gli eventi Lake Formation e CloudTrail gli eventi S3 nella CloudTrail proprietà del nome della sessione. Le query possono anche filtrare gli eventi di Lake Formation su e `eventName="GetDataAccess"` gli eventi S3 su `eventName="Get Object"` o. `eventName="Put Object"`

Di seguito è riportato un estratto di un CloudTrail evento cross-account di Lake Formation in cui è stato effettuato l'accesso ai dati in una posizione S3 registrata.

```
{
  "eventSource": "lakeformation.amazonaws.com",
  "eventName": "GetDataAccess",
  ..............
  ..............
  "additionalEventData": {
    "requesterService": "GLUE_JOB",
    "lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role",
    "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-B8JSAjo5QA"
   }
}
```

Il valore `lakeFormationRoleSessionName` chiave,`AWSLF-00-GL-111122223333-B8JSAjo5QA`, può essere unito al nome della sessione nella `principalId` chiave dell'evento S3. CloudTrail Di seguito è riportato un estratto dell'evento S3. CloudTrail Mostra la posizione del nome della sessione.

```
{
   "eventSource": "s3.amazonaws.com",
   "eventName": "Get Object"
   ..............
   ..............
   "principalId": "AROAQSOX5XXUR7D6RMYLR:AWSLF-00-GL-111122223333-B8JSAjo5QA",
   "arn": "arn:aws:sets::111122223333:assumed-role/Deformationally/AWSLF-00-GL-111122223333-B8JSAjo5QA",  
   "session Context": {
     "session Issuer": {
       "type": "Role",
       "principalId": "AROAQSOX5XXUR7D6RMYLR",
       "arn": "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/Deformationally",
       "accountId": "111122223333",
       "user Name": "Deformationally"
     },
   ..............
   ..............
}
```

Il nome della sessione è formattato come segue:

```
AWSLF-<version-number>-<query-engine-code>-<account-id->-<suffix>
```

**`version-number`**  
La versione di questo formato, attualmente`00`. Se il formato del nome della sessione cambia, sarà la versione successiva`01`.

**`query-engine-code`**  
Indica l'entità che ha avuto accesso ai dati. I valori correnti sono:      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/cross-account-logging.html)

**`account-id`**  
L'ID AWS dell'account che ha richiesto le credenziali a Lake Formation.

**`suffix`**  
Una stringa generata casualmente.

# Gestione delle autorizzazioni tra account utilizzando sia Lake Formation che tramite Lake AWS Glue Formation
<a name="hybrid-cross-account"></a>

È possibile concedere l'accesso a più account alle risorse del Data Catalog e ai dati sottostanti utilizzando o. AWS Glue AWS Lake Formation

InAWS Glue, concedi autorizzazioni per più account creando o aggiornando una politica delle risorse di Data Catalog. In Lake Formation, concedi autorizzazioni per più account utilizzando il modello di autorizzazioni Lake Formation `GRANT/REVOKE` e il funzionamento dell'`Grant Permissions`API.

**Suggerimento**  
Ti consigliamo di affidarti esclusivamente alle autorizzazioni di Lake Formation per proteggere il tuo data lake.

Puoi visualizzare le sovvenzioni di Lake Formation su più account utilizzando la console Lake Formation o la console AWS Resource Access Manager (AWS RAM). Tuttavia, queste pagine della console non mostrano le autorizzazioni per più account concesse dalla politica delle risorse di AWS Glue Data Catalog. Allo stesso modo, puoi visualizzare le concessioni tra account nella politica delle risorse di Data Catalog utilizzando la pagina **Impostazioni** della AWS Glue console, ma quella pagina non mostra le autorizzazioni per più account concesse utilizzando Lake Formation.

Per assicurarti di non perdere nessuna sovvenzione durante la visualizzazione e la gestione delle autorizzazioni tra più account, Lake Formation AWS Glue richiede che tu esegua le seguenti azioni per indicare che sei a conoscenza e che stai autorizzando le sovvenzioni tra account sia da Lake Formation che. AWS Glue

**Quando si concedono autorizzazioni su più account utilizzando la politica delle risorse di Data Catalog AWS Glue**  
Se il tuo account (account concedente o account produttore) non ha concesso concessioni tra account diversi che vengono utilizzate AWS RAM per condividere le risorse, puoi salvare una politica sulle risorse di Data Catalog come di consueto in. AWS Glue Tuttavia, se sono già state concesse sovvenzioni che prevedono la condivisione AWS RAM delle risorse, è necessario effettuare una delle seguenti operazioni per garantire che la politica di salvataggio delle risorse abbia esito positivo:
+ Quando salvi la politica delle risorse nella pagina **Impostazioni** della AWS Glue console, la console emette un avviso che indica che le autorizzazioni nella politica si aggiungeranno a tutte le autorizzazioni concesse utilizzando la console Lake Formation. È necessario scegliere **Procedi** per salvare la politica.
+ Quando si salva la politica delle risorse utilizzando l'operazione `glue:PutResourcePolicy` API, è necessario impostare il `EnableHybrid` campo su '`TRUE`' (type = string).

  Per aggiornare una politica delle risorse esistente, utilizza l'operazione `glue:GetResourcePolicy` API per recuperare prima la politica corrente, quindi modificala se necessario prima di chiamare`glue:PutResourcePolicy`. 
**Nota**  
Quando crei politiche AWS Glue sulle risorse per l'accesso tra account diversi, concedi solo le autorizzazioni minime richieste per il tuo caso d'uso specifico.

  *Per ulteriori informazioni, consulta [PutResourcePolicy Action (Python: put\$1resource\$1policy](https://docs.aws.amazon.com/glue/latest/dg/aws-glue-api-jobs-security.html#aws-glue-api-jobs-security-PutResourcePolicy)) nella Developer Guide.AWS Glue *

**Quando si concedono autorizzazioni per più account utilizzando il metodo delle risorse denominate Lake Formation**  
Se nel tuo account (account produttore) non è presente alcuna politica sulle risorse di Data Catalog, Lake Formation garantisce che tu proceda come al solito. Tuttavia, se esiste una politica in materia di risorse di Data Catalog, devi aggiungere la seguente dichiarazione per consentire che le concessioni tra account abbiano esito positivo se vengono effettuate con il metodo delle risorse denominato. Sostituiscila *<region>* con un nome regionale valido e *<account-id>* con l'ID AWS del tuo account (ID account produttore).

```
    {
      "Effect": "Allow",
      "Action": [
        "glue:ShareResource"
      ],
      "Principal": {"Service": [
        "ram.amazonaws.com"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:<account-id>:table/*/*",
        "arn:aws:glue:<region>:<account-id>:database/*",
        "arn:aws:glue:<region>:<account-id>:catalog"
      ]
    }
```

Senza questa dichiarazione aggiuntiva, la sovvenzione di Lake Formation ha esito positivo, ma viene bloccata e l'account del destinatario non può accedere alla risorsa concessa. AWS RAM

**Importante**  
Quando si utilizza il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC) per concedere concessioni tra account, è necessario disporre di una politica delle risorse del Data Catalog con almeno le autorizzazioni specificate in. [Prerequisiti](cross-account-prereqs.md)

**Consulta anche:**  
[Controllo dell'accesso ai metadati](access-control-metadata.md)(per una discussione sul metodo Named Resource rispetto al metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC)).
[Visualizzazione di tabelle e database condivisi del Data Catalog](viewing-available-shared-resources.md)
[Utilizzo delle impostazioni del catalogo dati sulla](https://docs.aws.amazon.com/glue/latest/dg/console-data-catalog-settings.html) *console nella Guida per gli sviluppatori AWS GlueAWS Glue *
[Concessione dell'accesso a più account](https://docs.aws.amazon.com/glue/latest/dg/cross-account-access.html) nella *Guida per gli AWS Glue sviluppatori* (ad esempio, le politiche relative alle risorse di Data Catalog)

# Visualizzazione di tutte le sovvenzioni tra account utilizzando l'operazione API GetResourceShares
<a name="cross-account-getresourcepolicies"></a>

Se la tua azienda concede autorizzazioni per più account utilizzando sia una politica AWS Glue Data Catalog delle risorse che le sovvenzioni Lake Formation, l'unico modo per visualizzare tutte le sovvenzioni su più account in un unico posto è utilizzare l'operazione API. `glue:GetResourceShares`

Quando concedi le autorizzazioni di Lake Formation su più account utilizzando il metodo di risorsa denominato, AWS Resource Access Manager (AWS RAM) crea una politica delle risorse AWS Identity and Access Management (IAM) e la memorizza nel tuo AWS account. La politica concede le autorizzazioni necessarie per accedere alla risorsa. AWS RAM crea una politica delle risorse separata per ogni concessione tra account. È possibile visualizzare tutte queste politiche utilizzando l'operazione `glue:GetResourceShares` API.

**Nota**  
Questa operazione restituisce anche la politica delle risorse di Data Catalog. Tuttavia, se hai abilitato la crittografia dei metadati nelle impostazioni del Catalogo dati e non disponi dell'autorizzazione sulla AWS KMS chiave, l'operazione non restituirà la politica delle risorse del Catalogo dati.

**Per visualizzare tutte le sovvenzioni tra account**
+ Immettere il seguente comando AWS CLI .

  ```
  aws glue get-resource-policies
  ```

Di seguito è riportato un esempio di politica delle risorse che AWS RAM crea e memorizza quando si concedono autorizzazioni su una tabella `t` nel database `db1` all' AWS account 1111-2222-3333.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "glue:GetTable",
         "glue:GetTables",
         "glue:GetTableVersion",         
         "glue:GetTableVersions",
         "glue:GetPartition", 
         "glue:GetPartitions",
         "glue:BatchGetPartition",
         "glue:SearchTables"
       ],
      "Principal": {"AWS": [
        "111122223333"
      ]},
      "Resource": [
      "arn:aws:glue:us-east-1:111122223333:table/db1/t"
     ]
    }
  ]
}
```

------

**Consulta anche:**  
[GetResourceShares Azione (Python: get\$1resource\$1policies](https://docs.aws.amazon.com/glue/latest/dg/aws-glue-api-jobs-security.html#aws-glue-api-jobs-security-GetResourcePolicies)*) nella Guida per gli sviluppatori AWS Glue *