Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Kontenübergreifenden Datenkatalogzugriff konfigurieren
Um auf einen Datenkatalog in einem anderen Konto zuzugreifen, können Sie den kontoübergreifenden Account von Athena verwenden AWS Glue bieten oder richten Sie einen kontoübergreifenden Zugriff in Lake Formation ein.
Option A: Kontenübergreifenden Datenkatalogzugriff in Athena konfigurieren
Sie können den kontoübergreifenden Account von Athena verwenden AWS Glue Katalogfunktion, um den Katalog in Ihrem Konto zu registrieren. Diese Funktion ist nur in Athena-Engine-Version 2 und späteren Versionen verfügbar und auf die Verwendung in derselben Region zwischen Konten beschränkt. Weitere Informationen finden Sie unter Einen Datenkatalog von einem anderen Konto aus registrieren.
Wenn für den Datenkatalog, der gemeinsam genutzt werden soll, eine Ressourcenrichtlinie konfiguriert ist AWS Glue, muss er aktualisiert werden, um den Zugriff auf das zu ermöglichen AWS Resource Access Manager und gewähren Sie Konto B die Erlaubnis, den Datenkatalog von Konto A zu verwenden, wie im folgenden Beispiel.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "ram.amazonaws.com" }, "Action": "glue:ShareResource", "Resource": [ "arn:aws:glue:<REGION>:<ACCOUNT-A>:table/*/*", "arn:aws:glue:<REGION>:<ACCOUNT-A>:database/*", "arn:aws:glue:<REGION>:<ACCOUNT-A>:catalog" ] }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<ACCOUNT-B>:root" }, "Action": "glue:*", "Resource": [ "arn:aws:glue:<REGION>:<ACCOUNT-A>:table/*/*", "arn:aws:glue:<REGION>:<ACCOUNT-A>:database/*", "arn:aws:glue:<REGION>:<ACCOUNT-A>:catalog" ] } ] }
Weitere Informationen finden Sie unter Konfigurieren Sie den kontoübergreifenden Zugriff auf AWS Glue Datenkataloge.
Option B: Kontenübergreifenden Zugriff in Lake Formation konfigurieren
AWS Lake Formation ermöglicht die Verwendung eines einzigen Kontos zur Verwaltung eines zentralen Datenkatalogs. Sie können dieses Feature verwenden, um den kontoübergreifenden Zugriff auf Datenkatalog-Metadaten und zugrunde liegende Daten zu implementieren. Beispielsweise kann ein Besitzerkonto einem anderen (Empfänger-)Konto SELECT die Berechtigung für eine Tabelle erteilen.
Damit eine freigegebene Datenbank oder Tabelle im Athena-Abfrage-Editor angezeigt wird, erstellen Sie in Lake Formation einen Ressourcenlink zur freigegebenen Datenbank oder Tabelle. Wenn das Empfängerkonto in Lake Formation die Tabelle des Besitzers abfragt, wird das Datenzugriffsereignis den Protokollen sowohl für das Empfängerkonto als auch für das Besitzerkonto CloudTrailhinzugefügt.
Beachten Sie bei freigegebenen Ansichten die folgenden Punkte:
-
Abfragen werden auf Zielressourcen-Links ausgeführt, nicht in der Quelltabelle oder -Ansicht, und dann wird die Ausgabe für das Zielkonto freigegeben.
-
Es reicht nicht aus, nur die Ansicht zu teilen. Alle Tabellen, die an der Erstellung der Ansicht beteiligt sind, müssen Teil der kontoübergreifenden Freigabe sein.
-
Der Name des auf den freigegebenen Ressourcen erstellten Ressourcenlinks muss mit dem Namen der Ressource im Eigentümerkonto übereinstimmen. Wenn der Name nicht übereinstimmt, wird eine Fehlermeldung wie
Fehler beim Analysieren der gespeicherten Ansicht 'awsdatacatalog' angezeigt.tritt auf.my-lf-resource-link.my-lf-view': Zeile 3:3: Schemaschema_nameist nicht vorhanden
Weitere Informationen zum kontoübergreifenden Zugriff in Lake Formation finden Sie in den folgenden Ressourcen im AWS Lake Formation Leitfaden für Entwickler:
Funktionsweise von Ressourcenverbindungen in Lake Formation
Kontoübergreifende Protokollierung CloudTrail
