As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configurando o modo de acesso híbrido - cenários comuns
<a name="hybrid-access-setup"></a>

Assim como nas permissões do Lake Formation, você geralmente tem dois tipos de cenários nos quais pode usar o modo de acesso híbrido para gerenciar o acesso aos dados: fornecer acesso aos principais dentro de um Conta da AWS e fornecer acesso a um externo Conta da AWS ou principal.

 Esta seção fornece instruções para configurar o modo de acesso híbrido nos seguintes cenários: 

**Gerencie permissões no modo de acesso híbrido em um Conta da AWS**
+ [Convertendo um AWS Glue recurso em um recurso híbrido](hybrid-access-mode-new.md)— No momento, você está fornecendo acesso às tabelas em um banco de dados para todos os diretores da sua conta usando as permissões do IAM para o Amazon S3 AWS Glue , mas deseja adotar o Lake Formation para gerenciar as permissões de forma incremental. 
+ [Convertendo um recurso do Lake Formation em um recurso híbrido](hybrid-access-mode-update.md): no momento, você está usando o Lake Formation para gerenciar o acesso às tabelas em um banco de dados para todas as entidades principais da sua conta, mas deseja usar o Lake Formation somente para entidades principais específicas. Você deseja fornecer acesso a novos diretores usando as permissões do IAM para o Amazon S3 no mesmo banco de dados AWS Glue e tabelas.

**Gerencie permissões no modo de acesso híbrido entre Conta da AWS s**
+ [Compartilhamento de um AWS Glue recurso usando o modo de acesso híbrido](hybrid-access-mode-cross-account.md): no momento, você não está usando o Lake Formation para gerenciar as permissões de uma tabela, mas deseja aplicar as permissões do Lake Formation para fornecer acesso às entidades principais em outra conta.
+ [Compartilhando um recurso do Lake Formation usando o modo de acesso híbrido](hybrid-access-mode-cross-account-IAM.md)— Você está usando o Lake Formation para gerenciar o acesso a uma tabela, mas deseja fornecer acesso para diretores em outra conta usando permissões do IAM para o Amazon S3 no mesmo banco de dados AWS Glue e tabelas. 

**Configurando o modo de acesso híbrido – Etapas de alto nível**

1. Registre a localização dos dados do Amazon S3 com o Lake Formation selecionando o **Modo de acesso híbrido**. 

1. As entidades principais devem ter permissão `DATA_LOCATION` em um local de data lake para criar tabelas ou bancos de dados do catálogo de dados que apontem para esse local. 

1.  Defina a **Configuração da versão entre contas** para a versão 4. 

1. Conceda permissões refinadas a usuários ou perfis específicos do IAM em bancos de dados e tabelas. Ao mesmo tempo, certifique-se de definir permissões `Super` ou `All` para o grupo `IAMAllowedPrincipals` no banco de dados e para todas ou para as tabelas selecionadas no banco de dados.

1. Opte pelas entidades principais e recursos. Outros diretores da conta podem continuar acessando os bancos de dados e tabelas usando as políticas de permissão do IAM AWS Glue e as ações do Amazon S3.

1. Opcionalmente, limpe as políticas de permissão do IAM para o Amazon S3 para as entidades principais que optaram por usar as permissões do Lake Formation.

# Pré-requisitos para configurar o modo de acesso híbrido
<a name="hybrid-access-prerequisites"></a>

Estes estão os pré-requisitos para configurar o modo de acesso híbrido: 

**nota**  
 Recomendamos que um administrador do Lake Formation registre a localização do Amazon S3 no modo de acesso híbrido e opte por entidades principais e recursos. 

1. Conceda permissão de localização de dados (`DATA_LOCATION_ACCESS`) para criar recursos do catálogo de dados que apontem para os locais do Amazon S3. As permissões de localização de dados controlam a capacidade de criar catálogos, bancos de dados e tabelas do Data Catalog que apontam para os locais específicos do Amazon S3. 

1. Para compartilhar recursos do Catálogo de Dados com outra conta no modo de acesso híbrido (sem remover as permissões de `IAMAllowedPrincipals` grupo do recurso), você precisa atualizar **as configurações da versão da conta cruzada** para a versão 4 ou superior. Para atualizar a versão usando o console do Lake Formation, escolha **Versão 4** ou **Versão 5** em **Configurações de versão entre contas** na página de **configurações do Catálogo de Dados**. 

   Você também pode usar o `put-data-lake-settings` AWS CLI comando para definir o `CROSS_ACCOUNT_VERSION` parâmetro para a versão 4 ou 5:

   ```
   aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
   {
   "DataLakeAdmins": [
           {
   "DataLakePrincipalIdentifier": "arn:aws:iam::<111122223333>:user/<user-name>"
           }
       ],
       "CreateDatabaseDefaultPermissions": [],
       "CreateTableDefaultPermissions": [],
       "Parameters": {
   "CROSS_ACCOUNT_VERSION": "5"
       }
   }
   ```

1. 
Para conceder permissões entre contas no modo de acesso híbrido, o concedente deve ter as permissões necessárias do IAM e os AWS Glue serviços. AWS RAM A política AWS gerenciada `AWSLakeFormationCrossAccountManager` concede as permissões necessárias.
 Para permitir o compartilhamento de dados entre contas no modo de acesso híbrido, atualizamos a política gerenciada `AWSLakeFormationCrossAccountManager` adicionando duas novas permissões do IAM:
   + RAM: ListResourceSharePermissions
   + RAM: AssociateResourceSharePermission
**nota**  
Se você não estiver usando a política AWS gerenciada para a função de concedente, adicione as políticas acima às suas políticas personalizadas.

## Localização do bucket do Amazon S3 e acesso do usuário
<a name="w2aac11c34c21c15b9"></a>

Ao criar um catálogo, banco de dados ou tabela no AWS Glue Data Catalog, você pode especificar a localização dos dados subjacentes no bucket do Amazon S3 e registrá-los no Lake Formation. As tabelas abaixo descrevem como as permissões funcionam para usuários (diretores) AWS Glue e usuários do Lake Formation com base na localização dos dados da tabela ou do banco de dados no Amazon S3. 


**Localização do Amazon S3 registrada no Lake Formation**  

| Localização de um banco de dados no Amazon S3 | AWS Glue usuários | Usuários do Lake Formation | 
| --- | --- | --- | 
|  Registrados no Lake Formation (no modo de acesso híbrido ou no modo do Lake Formation)  |  Tenha read/write acesso à localização de dados do Amazon S3 herdando permissões do grupo IAMAllowed Principals (superacesso).  | Herde as permissões para criar tabelas usando a permissão CREATE TABLE concedida. | 
| Nenhuma localização do Amazon S3 associada |  Permissão DATA LOCATION explícita necessária para executar as instruções CREATE TABLE e INSERT TABLE.  |  Permissão DATA LOCATION explícita necessária para executar as instruções CREATE TABLE e INSERT TABLE.  | 

****IsRegisteredWithLakeFormation**propriedade da tabela**  
A propriedade `IsRegisteredWithLakeFormation` de uma tabela indica se a localização dos dados da tabela está registrada no Lake Formation para o solicitante. Se o modo de permissão da localização estiver registrado como Lake Formation, a propriedade `IsRegisteredWithLakeFormation` será `true` para todos os usuários que acessam a localização dos dados, pois considera-se que todos os usuários optaram por essa tabela. Se a localização estiver registrada no modo de acesso híbrido, o valor será definido como `true` somente para usuários que optaram por essa tabela. 


**Como a `IsRegisteredWithLakeFormation` funciona**  

| Modo de permissão | Usuários/perfis |  `IsRegisteredWithLakeFormation`  | Description | 
| --- | --- | --- | --- | 
|  Lake Formation  | Todos | Verdadeiro |  Quando uma localização for registrada no Lake Formation, a propriedade `IsRegisteredWithLakeFormation` será definida como verdadeira para todos os usuários. Isso significa que as permissões definidas no Lake Formation se aplicam à localização registrada. O fornecimento de credenciais será feito pelo Lake Formation.  | 
| Modo de acesso híbrido | Optou por usar | Verdadeiro |  Com relação aos usuários que optaram por usar o Lake Formation para acesso aos dados e governança de uma tabela, a propriedade `IsRegisteredWithLakeFormation` será definida como `true` para essa tabela. Eles estão sujeitos às políticas de permissão definidas no Lake Formation referentes à localização registrada.  | 
| Modo de acesso híbrido | Optou por não usar | Falso |  Quanto aos usuários que optaram por não usar as permissões do Lake Formation, a propriedade `IsRegisteredWithLakeFormation` é definida como `false`. Eles não estão sujeitos às políticas de permissão definidas no Lake Formation referentes à localização registrada. Em vez disso, os usuários seguirão as políticas de permissões do Amazon S3.  | 

# Convertendo um AWS Glue recurso em um recurso híbrido
<a name="hybrid-access-mode-new"></a>

Siga estas etapas para registrar uma localização do Amazon S3 no modo de acesso híbrido e integrar novos usuários do Lake Formation sem interromper o acesso aos dados dos usuários existentes do catálogo de dados. 

Descrição do cenário - O local dos dados não está registrado no Lake Formation, e o acesso dos usuários ao banco de dados e às tabelas do catálogo de dados é determinado pelas políticas de permissões do IAM para o Amazon S3 e ações do AWS Glue .
 Por padrão, o grupo `IAMAllowedPrincipals` tem permissões `Super` em todas as tabelas do banco de dados. 

**Para ativar o modo de acesso híbrido para um local de dados que não está registrado no Lake Formation**

1. 

**Registre um local do Amazon S3 para ativar o modo de acesso híbrido.**

------
#### [ Console ]

   1. Faça login no [console do Lake Formation](https://console.aws.amazon.com/lakeformation/) como administrador do data lake. 

   1. No painel de navegação, escolha **Localizações do data lake** em **Administração**. 

   1. Escolha **Registrar localizações**.  
![\[Register location form for Amazon S3 data lake with path input, IAM role selection, and permission mode options.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/hybrid-access-register-s3.png)

   1. Na janela **Registrar localização**, escolha o caminho do **Amazon S3** que você deseja registrar no Lake Formation. 

   1. Para o **perfil do IAM**, escolha a função `AWSServiceRoleForLakeFormationDataAccess` vinculada ao serviço (a padrão) ou um perfil personalizado do IAM que atenda aos requisitos em [Requisitos para funções usadas para registrar locais](registration-role.md). 

   1. Escolha o **Modo de acesso híbrido** para aplicar políticas refinadas de controle de acesso do Lake Formation às entidades principais e bancos de dados e tabelas do catálogo de dados que apontam para a localização registrada.


      Escolha Lake Formation para permitir que o Lake Formation autorize solicitações de acesso ao local registrado.


   1. Escolha **Registrar local**.

------
#### [ AWS CLI ]

   Veja a seguir um exemplo para registrar um local de dados no Lake Formation HybridAccessEnabled com:true/false. O valor padrão do parâmetro `HybridAccessEnabled` é falso. Substitua o caminho, o nome da função e o ID da AWS conta do Amazon S3 por valores válidos.

   ```
   aws lakeformation register-resource --cli-input-json file:file path
   json:
       {
           "ResourceArn": "arn:aws:s3:::s3-path",
           "UseServiceLinkedRole": false,
           "RoleArn": "arn:aws:iam::<123456789012>:role/<role-name>",
           "HybridAccessEnabled": true
       }
   ```

------

1. 

**Conceda permissões e opte pelas entidades principais para usar as permissões do Lake Formation para recursos no modo de acesso híbrido**

   Antes de aceitar entidades principais e recursos no modo de acesso híbrido, verifique se existem permissões `Super` ou `All` para o grupo `IAMAllowedPrincipals` nos bancos de dados e tabelas que têm localização registrada no Lake Formation no modo de acesso híbrido.
**nota**  
Você não pode conceder ao grupo `IAMAllowedPrincipals` permissão para `All tables` em um banco de dados. Você precisa selecionar cada tabela separadamente no menu suspenso e conceder permissões. Além disso, ao criar tabelas no banco de dados, você pode optar por usar `Use only IAM access control for new tables in new databases` em **Configurações do Catálogo de Dados**. Essa opção concede permissão `Super` ao grupo `IAMAllowedPrincipals` automaticamente quando você cria novas tabelas no banco de dados. 

------
#### [ Console ]

   1. No console do Lake Formation, em **Data Catalog**, escolha **Catálogos**, **Bancos de dados** ou **Tabelas**.

   1. Selecione um catálogo, um banco de dados ou uma tabela na lista e escolha **Conceder** no menu **Ações**.

   1. Escolha entidades principais para conceder permissões no banco de dados, tabelas e colunas usando o método de recurso nomeado ou tags do LF.

      Como alternativa, escolha **Permissões de dados**, selecione as entidades principais para conceder permissões na lista e escolha **Conceder**.

      Para obter mais detalhes sobre a concessão de permissões de dados, consulte [Conceder permissões nos recursos do Catálogo de Dados](granting-catalog-permissions.md).
**nota**  
Se você estiver concedendo a permissão Criar tabela a uma entidade principal, também precisará conceder permissões de localização de dados (`DATA_LOCATION_ACCESS`) à entidade principal. Essa permissão não é necessária para atualizar tabelas.  
Para obter mais informações, consulte [Conceder permissões de localização de dados](granting-location-permissions.md).

   1. Quando você usa o **Método de recurso nomeado** para conceder permissões, a opção de optar por entidades principais e recursos está disponível na seção inferior da página **Conceder permissão de dados**. 

      Escolha **Tornar as permissões do Lake Formation efetivas imediatamente** para habilitar as permissões do Lake Formation para as entidades principais e recursos.  
![\[A opção de escolher o modo de acesso híbrido para o recurso do Data Catalog.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/hybrid-access-grant-option.png)

   1. Selecione **Conceder**.

       Quando você opta pela entidade principal A na tabela A que está apontando para um local de dados, ela permite que a entidade principal A tenha acesso ao local dessa tabela usando as permissões do Lake Formation se o local dos dados estiver registrado no modo híbrido. 

------
#### [ AWS CLI ]

   A seguir está um exemplo de como optar por uma entidade principal e uma tabela no modo de acesso híbrido. Substitua o nome da função, o ID da conta da AWS , o nome do banco de dados e o nome da tabela por valores válidos.

   ```
   aws lakeformation create-lake-formation-opt-in --cli-input-json file://file path
   json:
     {
           "Principal": {
               "DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>:role/<hybrid-access-role>"
           },
           "Resource": {
               "Table": {
                   "CatalogId": "<123456789012>",
                   "DatabaseName": "<hybrid_test>",
                   "Name": "<hybrid_test_table>"
               }
           }
       }
   ```

------

   1. Se você escolher tags do LF para conceder permissões, você pode optar por entidades principais para usar as permissões do Lake Formation em uma etapa separada. Você pode fazer isso escolhendo o **Modo de acesso híbrido** em **Permissões** na barra de navegação esquerda.

   1.  Na seção inferior da página do **Modo de acesso híbrido**, escolha **Adicionar para adicionar** recursos e entidades principais ao modo de acesso híbrido. 

   1.  Na página **Adicionar recursos e entidades principais**, escolha os catálogos, os bancos de dados e as tabelas registrados no modo de acesso híbrido. 

      Você pode escolher `All tables` em um banco de dados para conceder acesso.  
![\[A interface para adicionar catálogos, bancos de dados e tabelas no modo de acesso híbrido.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/hybrid-access-opt-in.png)

   1. Escolha entidades principais para aceitarem o uso das permissões do Lake Formation no modo de acesso híbrido.
      +  **Entidade principais**: é possível escolher usuários e perfis do IAM na mesma conta ou em outra conta. Você também pode escolher usuários e grupos SAML.
      + **Atributos**: selecione atributos para conceder permissões com base em atributos.  
![\[A interface para adicionar entidades principais e recursos com uma expressão de atributo.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/abac-hybrid-access.png)
      + Insira o par de chave-valor para criar uma concessão com base em atributos. Analise a expressão da política Cedar no console. Para acessar mais informações sobre Cedar, consulte [O que é Cedar? \$1 Referência GuideLink de linguagem da Cedar Policy](https://docs.cedarpolicy.com/).
      + Escolha **Adicionar**.

        Todos os IAM roles/users com atributos correspondentes recebem acesso.

   1. Escolha **Adicionar**.

# Convertendo um recurso do Lake Formation em um recurso híbrido
<a name="hybrid-access-mode-update"></a>

Nos casos em que você está usando atualmente as permissões do Lake Formation para seus bancos de dados e tabelas do catálogo de dados, você pode editar as propriedades de registro de localização para ativar o modo de acesso híbrido. Isso permite que você forneça aos novos diretores acesso aos mesmos recursos usando políticas de permissão do IAM para o Amazon S3 AWS Glue e ações sem interromper as permissões existentes do Lake Formation.

 Descrição do cenário - As etapas a seguir pressupõem que você tenha um local de dados registrado no Lake Formation e tenha configurado permissões para entidades principais em bancos de dados, tabelas ou colunas que apontam para esse local. Se o local foi registrado com uma função vinculada ao serviço, você não poderá atualizar os parâmetros de localização e ativar o modo de acesso híbrido. Por padrão, o grupo `IAMAllowedPrincipals` tem permissões Super no banco de dados e em todas as respectivas tabelas. 

**Importante**  
Não atualize um registro de localização para o modo de acesso híbrido sem optar pelas entidades principais que estão acessando os dados nesse local.

**Ativando o modo de acesso híbrido para um local de dados registrado no Lake Formation**

1. 
**Atenção**  
Não recomendamos converter uma localização de dados gerenciada do Lake Formation no modo de acesso híbrido para evitar a interrupção das políticas de permissões de outros usuários ou workloads existentes.

   Opte pelas entidades principais existentes que tenham permissões do Lake Formation.

   1. Liste e analise as permissões que você concedeu às entidades principais em catálogos, bancos de dados e tabelas. Para obter mais informações, consulte [Visualizar permissões de banco de dados e tabelas no Lake Formation](viewing-permissions.md). 

   1. Escolha o **Modo de acesso híbrido** em **Permissões** na barra de navegação esquerda e escolha **Adicionar**. 

   1. Na página **Adicionar entidades principais e recursos**, escolha os catálogos, os bancos de dados e as tabelas do local de dados do Amazon S3 que você deseja usar no modo de acesso híbrido. Escolha as entidades principais que já possuem permissões do Lake Formation. 

   1.  Escolha **Adicionar** para ativar as entidades principais para usar as permissões do Lake Formation no modo de acesso híbrido.

1.  Atualize o bucket/prefix registro do Amazon S3 escolhendo a opção de **modo de acesso híbrido**. 

------
#### [ Console ]

   1. Faça login no console do Lake Formation como administrador do data lake.

   1.  No painel de navegação, em **Registrar e ingerir**, escolha **Locais do data lake**.

   1. Selecione um local e, no menu **Ações**, escolha **Editar**.

   1. Escolha o **Modo de acesso híbrido**. 

   1. Escolha **Salvar**. 

   1. Em catálogo de dados, selecione o banco de dados ou a tabela e conceda permissões `Super` ou `All` para o grupo virtual chamado `IAMAllowedPrincipals`. 

   1.  Verifique se o acesso dos usuários existentes do Lake Formation não foi interrompido quando você atualizou as propriedades de registro de localização. Faça login no console do Athena como entidade principal do Lake Formation e execute um exemplo de consulta em uma tabela que está apontando para o local atualizado. 

      Da mesma forma, verifique o acesso dos AWS Glue usuários que estão usando as políticas de permissões do IAM para acessar o banco de dados e as tabelas.

------
#### [ AWS CLI ]

   Veja a seguir um exemplo para registrar um local de dados no Lake Formation HybridAccessEnabled com:true/false. O valor padrão do parâmetro `HybridAccessEnabled` é falso. Substitua o caminho, o nome da função e o ID da AWS conta do Amazon S3 por valores válidos.

   ```
   aws lakeformation update-resource --cli-input-json file://file path
   json:
   {
       "ResourceArn": "arn:aws:s3:::<s3-path>",
       "RoleArn": "arn:aws:iam::<123456789012>:role/<test>",
       "HybridAccessEnabled": true
   }
   ```

------

# Compartilhamento de um AWS Glue recurso usando o modo de acesso híbrido
<a name="hybrid-access-mode-cross-account"></a>

Compartilhe dados com outra pessoa Conta da AWS ou com um diretor de outra pessoa Conta da AWS aplicando as permissões do Lake Formation sem interromper o acesso baseado em IAM dos usuários existentes do Catálogo de Dados. 

Descrição do cenário - A conta do produtor tem um banco de dados do catálogo de dados que tem acesso controlado usando as principais políticas do IAM para Amazon S3 e AWS Glue ações. A localização dos dados do banco de dados não está registrada no Lake Formation. Por padrão, o grupo `IAMAllowedPrincipals` tem permissões `Super` no banco de dados e em todas as respectivas tabelas. 

**Conceder permissões entre contas do Lake Formation no modo de acesso híbrido**

1. 

**Configuração da conta de produtor**

   1. Faça login no console do Lake Formation usando uma função que tenha permissão do IAM `lakeformation:PutDataLakeSettings`.

   1. Acesse as **Configurações do catálogo de dados** e escolha `Version 4` para as **Configurações da versão entre contas**.

      Se você estiver usando a versão 1 ou 2, consulte as instruções [Como atualizar as configurações da versão de compartilhamento de dados entre contas](optimize-ram.md) sobre como atualizar para a versão 3. 

      Não são necessárias alterações na política de permissão ao atualizar da versão 3 para a 4.

   1. Registre a localização do Amazon S3 do banco de dados ou tabela que você planeja compartilhar no modo de acesso híbrido.

   1. Verifique se a permissão `Super` para o grupo `IAMAllowedPrincipals` existe nos bancos de dados e tabelas nos quais você registrou a localização dos dados no modo de acesso híbrido na etapa acima. 

   1. Conceda permissões do Lake Formation para AWS organizações, unidades organizacionais (OUs) ou diretamente com um diretor do IAM em outra conta.

   1. Se você estiver concedendo permissões diretamente a uma entidade principal do IAM, opte pela entidade principal da conta de consumidor para aplicar as permissões do Lake Formation no modo de acesso híbrido, ativando a opção **Tornar as permissões do Lake Formation efetivas imediatamente**.

       Se você estiver concedendo permissões entre contas para outra AWS conta, ao optar pela conta, as permissões do Lake Formation serão aplicadas somente para os administradores dessa conta. O administrador do data lake da conta do destinatário precisa reduzir as permissões em cascata e optar pelas entidades principais da conta para aplicar as permissões do Lake Formation aos recursos compartilhados que estão no modo de acesso híbrido.

      Se você escolher a opção **Recursos correspondidos por tags do LF** para conceder permissões entre contas, você precisa primeiro concluir a etapa de concessão de permissões. Você pode optar por incluir entidades principais e recursos no modo de acesso híbrido como uma etapa separada, escolhendo o **Modo de acesso híbrido** em Permissões na barra de navegação esquerda do console do Lake Formation. Em seguida, escolha **Adicionar** para adicionar os recursos e as entidades principais aos quais você deseja aplicar as permissões do Lake Formation. 

1. 

**Configuração de conta de consumidor**

   1. Faça login no console do Lake Formation [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)como administrador do data lake.

   1. Vá para [https://console.aws.amazon.com/ram/casa](https://console.aws.amazon.com/ram/home) e aceite o convite de compartilhamento de recursos. A guia **Compartilhado comigo** no AWS RAM console exibe o banco de dados e as tabelas compartilhadas com sua conta.

   1.  Crie um link de recurso para a and/or tabela do banco de dados compartilhado no Lake Formation.

   1.  Conceda a permissão `Describe` no link do recurso e a permissão `Grant on target` (no recurso compartilhado original) às entidades principais do IAM em sua conta (de consumidor). 

   1.  Conceda permissões do Lake Formation no banco de dados ou na tabela compartilhada com você às entidades principais da sua conta. Opte pelas entidades principais e recursos para aplicar as permissões do Lake Formation no modo de acesso híbrido, ativando a opção **Tornar as permissões do Lake Formation efetivas imediatamente**.

   1.  Teste as permissões da entidade principal do Lake Formation executando exemplos de consultas do Athena. Teste o acesso existente de seus AWS Glue usuários com as principais políticas do IAM para Amazon S3 e AWS Glue ações.

      (Opcional) Remova a política de bucket do Amazon S3 para acesso a dados e políticas de entidades principais do IAM para AWS Glue e acesso a dados do Amazon S3 para as entidades principais que você configurou para usar permissões do Lake Formation.

# Compartilhando um recurso do Lake Formation usando o modo de acesso híbrido
<a name="hybrid-access-mode-cross-account-IAM"></a>

Permita que novos usuários do catálogo de dados em uma conta externa acessem bancos de dados e tabelas do catálogo de dados usando políticas baseadas no IAM sem interromper as permissões de compartilhamento entre contas existentes do Lake Formation.

Descrição do cenário - A conta de produtor tem banco de dados e tabelas gerenciados pelo Lake Formation que são compartilhados com uma conta externa (consumidor) no nível da conta ou no nível de entidade principal do IAM. A localização dos dados do banco de dados é registrada no Lake Formation. O grupo `IAMAllowedPrincipals` não tem permissões `Super` no banco de dados e em suas tabelas. 

**Conceder acesso entre contas a novos usuários do catálogo de dados por meio de políticas baseadas em IAM sem interromper as permissões existentes do Lake Formation**

1. 

**Configuração da conta de produtor**

   1. Faça login no console do Lake Formation usando uma função que `lakeformation:PutDataLakeSettings`. 

   1. Em **Configurações do catálogo de dados**, escolha `Version 4` para as **Configurações da versão entre contas**.

      Se você estiver usando a versão 1 ou 2, consulte as instruções [Como atualizar as configurações da versão de compartilhamento de dados entre contas](optimize-ram.md) sobre como atualizar para a versão 3. 

      Não são necessárias alterações na política de permissão para atualizar da versão 3 para a 4.

   1. Liste as permissões que você concedeu às entidades principais em bancos de dados e tabelas. Para obter mais informações, consulte [Visualizar permissões de banco de dados e tabelas no Lake Formation](viewing-permissions.md). 

   1.  Conceda novamente as permissões existentes entre contas do Lake Formation optando por entidades principais e recursos.
**nota**  
Antes de atualizar um registro de localização de dados para o modo de acesso híbrido para conceder permissões entre contas, você precisa conceder novamente pelo menos um compartilhamento de dados entre contas por conta. Essa etapa é necessária para atualizar as permissões AWS RAM gerenciadas anexadas ao compartilhamento AWS RAM de recursos.  
Em julho de 2023, o Lake Formation atualizou as permissões AWS RAM gerenciadas usadas para compartilhar bancos de dados e tabelas:  
`arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueAllTablesReadWriteForDatabase` (política de compartilhamento em nível de banco de dados)
`arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueTableReadWrite` (política de compartilhamento em nível de tabela) 
As concessões de permissão entre contas feitas antes de julho de 2023 não têm essas AWS RAM permissões atualizadas.   
Se você concedeu permissões entre contas diretamente às entidades principais, precisará devolvê-las individualmente às entidades principais. Se você pular essa etapa, as entidades principais que acessam o recurso compartilhado podem receber um erro de combinação ilegal. 

   1. Vá para [https://console.aws.amazon.com/ram/casa](https://console.aws.amazon.com/ram/home). 

   1. A guia **Compartilhado por mim** no AWS RAM console exibe os nomes do banco de dados e da tabela que você compartilhou com uma conta externa ou principal.

       Certifique-se de que as permissões anexadas ao recurso compartilhado tenham o ARN correto. 

   1. Verifique se os recursos no AWS RAM compartilhamento estão no `Associated` status. Se o status for exibido como `Associating`, espere até que eles entrem no status `Associated`. Se o status for `Failed`, pare e entre em contato com a equipe de serviço do Lake Formation. 

   1. Escolha o **Modo de acesso híbrido** em **Permissões** na barra de navegação esquerda e escolha **Adicionar**. 

   1.  A página **Adicionar diretores e recursos** mostra os bancos de dados, and/or as tabelas e os principais que têm acesso. Você pode fazer as atualizações necessárias adicionando ou removendo entidades principais e recursos.

   1.  Escolha as entidades principais com permissões do Lake Formation para o banco de dados e as tabelas que você deseja alterar para o modo de acesso híbrido. Escolha os bancos de dados e tabelas. 

   1.  Escolha **Adicionar** para optar pelas entidades principais para aplicar as permissões do Lake Formation no modo de acesso híbrido.

   1.  Conceda a permissão `Super` ao grupo virtual `IAMAllowedPrincipals` em seu banco de dados e nas tabelas selecionadas. 

   1. Edite o registro Lake Formation da localização do Amazon S3 para o modo de acesso híbrido.

   1. Conceda permissões para os AWS Glue usuários na conta externa (consumidor) usando políticas de permissão do IAM para ações do Amazon S3 AWS Glue . 

1. 

**Configuração de conta de consumidor**

   1. Faça login no console do Lake Formation [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)como administrador do data lake. 

   1. Vá para [https://console.aws.amazon.com/ram/casa](https://console.aws.amazon.com/ram/home) e aceite o convite de compartilhamento de recursos. A guia **Recursos compartilhados comigo** na AWS RAM página exibe os nomes do banco de dados e das tabelas que são compartilhados com sua conta.

       Para o AWS RAM compartilhamento, certifique-se de que a permissão anexada tenha o ARN correto do convite compartilhado AWS RAM . Verifique se os recursos no AWS RAM compartilhamento estão no `Associated` status. Se o status for exibido como `Associating`, espere até que eles entrem no status `Associated`. Se o status for `Failed`, pare e entre em contato com a equipe de serviço do Lake Formation. 

   1.  Crie um link de recurso para a and/or tabela do banco de dados compartilhado no Lake Formation.

   1.  Conceda a permissão `Describe` no link do recurso e a permissão `Grant on target` (no recurso compartilhado original) às entidades principais do IAM em sua conta (de consumidor). 

   1. Em seguida, configure as permissões do Lake Formation para as entidades principais da sua conta no banco de dados ou na tabela compartilhada.

      Na barra de navegação esquerda, em **Permissões**, escolha **Modo de acesso híbrido**.

   1.  Escolha **Adicionar** na seção inferior da página do **Modo de acesso híbrido** para optar pelas entidades principais e pelo banco de dados ou tabela compartilhados com você na conta de produtor.

   1.  Conceda permissões para os AWS Glue usuários em sua conta usando políticas de permissão do IAM para ações do Amazon S3 AWS Glue . 

   1.  Teste as permissões e AWS Glue permissões do Lake Formation dos usuários executando exemplos de consultas separadas na tabela usando o Athena

      (Opcional) Limpe as políticas de permissão do IAM para o Amazon S3 para as entidades principais que estão no modo de acesso híbrido.