本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用混合存取模式共用 AWS Glue 資源 在另一個強制 Lake Formation AWS 帳戶 許可中與另一個 AWS 帳戶 或委託人共用資料,而不會中斷現有 Data Catalog 使用者的 IAM 型存取。 案例描述 - 生產者帳戶具有 Data Catalog 資料庫,該資料庫具有使用 Amazon S3 和 AWS Glue 動作的 IAM 主體政策控制的存取。資料庫的資料位置並未向 Lake Formation 註冊。根據預設, `IAMAllowedPrincipals`群組具有資料庫及其所有資料表的`Super`許可。 **在混合存取模式中授予跨帳戶 Lake Formation 許可** 1. **生產者帳戶設定** 1. 使用具有 IAM 許可的角色登入 Lake Formation `lakeformation:PutDataLakeSettings` 主控台。 1. 前往 **Data Catalog 設定**,然後選擇`Version 4`**跨帳戶版本設定**。 如果您目前正在使用版本 1 或 2,請參閱更新至版本 3 [更新跨帳戶資料共用版本設定](optimize-ram.md)的說明。 從第 3 版升級至第 4 版時,不需要變更許可政策。 1. 註冊您計劃在混合存取模式中共用的資料庫或資料表的 Amazon S3 位置。 1. 在上述步驟中,確認您以混合存取模式註冊資料位置的資料庫和資料表上,存在`IAMAllowedPrincipals`群組的`Super`許可。 1. 將 Lake Formation 許可授予 AWS 組織、組織單位 (OUs),或直接授予另一個帳戶中的 IAM 主體。 1. 如果您要將許可直接授予 IAM 委託人,請從消費者帳戶選擇加入委託人,透過啟用讓 Lake Formation 許可**立即生效選項,在混合存取模式中強制執行 Lake Formation 許可**。 如果您要將跨帳戶許可授予另一個 AWS 帳戶,當您選擇加入帳戶時,Lake Formation 許可只會對該帳戶的管理員強制執行。收件人帳戶資料湖管理員需要串聯許可,並選擇帳戶中的主體,以對處於混合存取模式的共用資源強制執行 Lake Formation 許可。 如果您選擇 **LF 標籤相符的資源**選項來授予跨帳戶許可,則需要先完成授予許可步驟。您可以在 Lake Formation 主控台左側導覽列的許可下選擇**混合存取模式,以選擇將主體和資源加入混合存取模式**作為單獨的步驟。然後選擇**新增**以新增您要強制執行 Lake Formation 許可的資源和主體。 1. **消費者帳戶設定** 1. 以資料湖管理員身分登入 Lake Formation 主控台,網址為 https://[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)。 1. 前往 https://[https://console.aws.amazon.com/ram/home](https://console.aws.amazon.com/ram/home)。 AWS RAM 主控台中的**與我共用**索引標籤會顯示與您的帳戶共用的資料庫和資料表。 1. 在 Lake Formation 中建立共用資料庫和/或資料表的資源連結。 1. 將資源連結和`Grant on target`許可 (在原始共用資源上) 的`Describe`許可授予您 (消費者) 帳戶中的 IAM 主體。 1. 將與您共用之資料庫或資料表的 Lake Formation 許可授予您帳戶中的主體。選擇主體和資源,透過啟用讓 Lake Formation 許可**立即生效的選項,在混合存取模式中強制執行 Lake Formation 許可**。 1. 執行範例 Athena 查詢,以測試委託人的 Lake Formation 許可。使用 Amazon S3 和 AWS Glue 動作的 IAM 主體政策來測試 AWS Glue 使用者的現有存取權。 (選用) 移除您設定為使用 Lake Formation 許可之主體的資料存取的 Amazon S3 儲存貯體政策和 的 AWS Glue IAM 主體政策,以及 Amazon S3 資料存取。