Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Kontoübergreifender Datenaustausch in Lake Formation
Die kontoübergreifenden Funktionen von Lake Formation ermöglichen es Benutzern AWS-Konten, verteilte Data Lakes sicher über mehrere AWS Organisationen hinweg oder direkt mit IAM-Prinzipalen in einem anderen Konto gemeinsam zu nutzen, wodurch ein detaillierter Zugriff auf die Data Catalog-Metadaten und die zugrunde liegenden Daten ermöglicht wird. Große Unternehmen verwenden in der Regel mehrere AWS-Konten, und viele dieser Konten benötigen möglicherweise Zugriff auf einen Data Lake, der von einem einzigen verwaltet wird. AWS-Konto Benutzer und ETL-Jobs ( AWS Glue Extrahieren, Transformieren und Laden) können Tabellen über mehrere Konten hinweg abfragen und verknüpfen und dabei trotzdem die Vorteile des Datenschutzes auf Tabellen- und Spaltenebene von Lake Formation nutzen.
Wenn Sie Lake Formation-Berechtigungen für eine Datenkatalogressource einem externen Konto oder direkt einem IAM-Prinzipal in einem anderen Konto gewähren, verwendet Lake Formation den Dienst AWS Resource Access Manager (AWS RAM), um die Ressource gemeinsam zu nutzen. Befindet sich das Konto des Empfängers in derselben Organisation wie das Konto des Zuschussempfängers, steht die gemeinsam genutzte Ressource dem Empfänger sofort zur Verfügung. Wenn sich das Konto des Zuschussempfängers nicht in derselben Organisation befindet, AWS RAM sendet es eine Einladung an das Konto des Empfängers, den Ressourcenzuschuss anzunehmen oder abzulehnen. Um die gemeinsam genutzte Ressource verfügbar zu machen, muss der Data Lake-Administrator des Empfängerkontos dann die AWS RAM Konsole verwenden oder die AWS CLI Einladung annehmen.
Lake Formation unterstützt die gemeinsame Nutzung von Datenkatalogressourcen mit externen Konten im Hybridzugriffsmodus. Der Hybridzugriffsmodus bietet die Flexibilität, selektiv Lake Formation Formation-Berechtigungen für Datenbanken und Tabellen in Ihrem AWS Glue Data Catalog zu aktivieren. Mit dem Hybridzugriffsmodus verfügen Sie jetzt über einen inkrementellen Pfad, mit dem Sie Lake Formation Formation-Berechtigungen für eine bestimmte Gruppe von Benutzern festlegen können, ohne die Berechtigungsrichtlinien anderer vorhandener Benutzer oder Workloads zu unterbrechen.
Weitere Informationen finden Sie unter Hybrider Zugriffsmodus.
Direkter kontenübergreifender Austausch
Autorisierte Principals können Ressourcen explizit mit einem IAM-Prinzipal in einem externen Konto teilen. Diese Funktion ist nützlich, wenn ein Kontoinhaber die Kontrolle darüber haben möchte, wer im externen Konto auf die Ressourcen zugreifen kann. Bei den Berechtigungen, die der IAM-Principal erhält, handelt es sich um eine Kombination aus direkten Zuschüssen und Zuschüssen auf Kontoebene, die an die Hauptbenutzer weitergegeben werden. Der Data Lake-Administrator des Empfängerkontos kann die direkten kontoübergreifenden Zuschüsse einsehen, jedoch keine Berechtigungen widerrufen. Der Principal, der die Resource Share erhält, kann die Ressource nicht mit anderen Principals teilen.
Methoden für die gemeinsame Nutzung von Datenkatalogressourcen
Mit einem einzigen Lake Formation Formation-Grant-Vorgang können Sie kontoübergreifende Berechtigungen für die folgenden Datenkatalogressourcen gewähren.
-
Eine Datenbank
-
Eine einzelne Tabelle (mit optionaler Spaltenfilterung)
-
Ein paar ausgewählte Tabellen
-
Alle Tabellen in einer Datenbank (mithilfe des Platzhalters „Alle Tabellen“)
Es gibt zwei Möglichkeiten, Ihre Datenbanken und Tabellen für andere Benutzer AWS-Konto oder für IAM-Prinzipale in einem anderen Konto gemeinsam zu nutzen.
Tag-basierte Zugriffskontrolle von Lake Formation (LF-TBAC) (empfohlen)
Die tagbasierte Zugriffskontrolle von Lake Formation ist eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Attributen definiert. Sie können die tagbasierte Zugriffskontrolle verwenden, um Datenkatalogressourcen (Datenbanken, Tabellen und Spalten) mit externen IAM-Prinzipalen AWS-Konten, Organizations und Organisationseinheiten (OUs) gemeinsam zu nutzen. In Lake Formation werden diese Attribute als LF-Tags bezeichnet. Weitere Informationen finden Sie unter Verwaltung eines Data Lakes mithilfe der tagbasierten Zugriffskontrolle von Lake Formation.
Anmerkung
Die LF-TBAC-Methode zur Erteilung von Datenkatalogberechtigungen wird für kontoübergreifende Zuschüsse verwendet. AWS Resource Access Manager
Lake Formation unterstützt jetzt die Gewährung kontenübergreifender Berechtigungen für Organizations und Organisationseinheiten mithilfe der LF-TBAC-Methode.
Um diese Funktion zu aktivieren, müssen Sie die Einstellungen für die kontoübergreifende Version auf Version 3 aktualisieren.
Weitere Informationen finden Sie unter Aktualisierung der Versionseinstellungen für die kontenübergreifende gemeinsame Nutzung von Daten.
-
Lake Formation benannte Ressourcen
Die Methode zur kontenübergreifenden Datenfreigabe von Lake Formation mithilfe benannter Ressourcen ermöglicht es Ihnen, Lake Formation Formation-Berechtigungen mit einer Erteilungsoption für Datenkatalogtabellen und Datenbanken an externe AWS-Konten IAM-Prinzipale, Organisationen oder Organisationseinheiten zu gewähren. Bei der Gewährung werden diese Ressourcen automatisch gemeinsam genutzt.
Anmerkung
Sie können dem AWS Glue Crawler auch gestatten, mithilfe von Lake Formation Formation-Anmeldeinformationen auf einen Datenspeicher in einem anderen Konto zuzugreifen. Weitere Informationen finden Sie unter Kontoübergreifendes Crawling im AWS Glue Entwicklerhandbuch.
Integrierte Dienste wie Athena und Amazon Redshift Spectrum benötigen Ressourcenlinks, um gemeinsam genutzte Ressourcen in Abfragen einbeziehen zu können. Weitere Informationen zu Ressourcenlinks finden Sie unter. Funktionsweise von Ressourcenverbindungen in Lake Formation
Hinweise und Einschränkungen finden Sie unterBewährte Methoden und Überlegungen für den kontenübergreifenden Datenaustausch.
Themen
- Voraussetzungen
- Aktualisierung der Versionseinstellungen für die kontenübergreifende gemeinsame Nutzung von Daten
- Gemeinsame Nutzung von Datenkatalogtabellen und Datenbanken für mehrere AWS-Konten IAM-Prinzipale von externen Konten aus
- Erteilen von Berechtigungen für eine Datenbank oder Tabelle, die mit Ihrem Konto geteilt wird
- Erteilen von Ressourcenverknüpfungsberechtigungen
- Zugreifen auf die zugrunde liegenden Daten einer gemeinsam genutzten Tabelle
- Kontoübergreifende Protokollierung CloudTrail
- Verwaltung kontenübergreifender Berechtigungen sowohl AWS Glue mit Lake Formation als auch mit Lake Formation
- Alle kontenübergreifenden Zuschüsse mithilfe des GetResourceShares API-Vorgangs anzeigen
Verwandte Themen
