Prácticas recomendadas y consideraciones para uso compartido de datos entre cuentas - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas y consideraciones para uso compartido de datos entre cuentas

Las capacidades multicuenta de Lake Formation permiten a los usuarios compartir de forma segura lagos de datos distribuidos entre varias AWS organizaciones o directamente con IAM los directores de otra cuenta Cuentas de AWS, lo que proporciona un acceso detallado a los metadatos del catálogo de datos y a los datos subyacentes.

Tenga en cuenta las siguientes prácticas recomendadas en el uso compartido de datos entre cuentas de Lake Formation:

  • No hay límite en cuanto a la cantidad de permisos de Lake Formation que puede conceder a los directores por su propia AWS cuenta. Sin embargo, Lake Formation usa la capacidad AWS Resource Access Manager (AWS RAM) para las concesiones entre cuentas que su cuenta puede realizar con el método de recurso indicado. Para maximizar la AWS RAM capacidad, sigue estas prácticas recomendadas para el método de recurso indicado:

    • Usa el nuevo modo de concesión multicuenta (versión 3 y superior en la configuración de la versión multicuenta) para compartir un recurso con una persona externa Cuenta de AWS. Para obtener más información, consulte Actualización de los ajustes de la versión entre cuentas para compartir datos.

    • Organice las AWS cuentas en organizaciones y conceda permisos a las organizaciones o unidades organizativas. Una concesión a una organización o unidad organizativa cuenta como una concesión.

      La concesión a organizaciones o unidades organizativas también elimina la necesidad de aceptar una AWS Resource Access Manager (AWS RAM) invitación a compartir recursos para obtener la subvención. Para obtener más información, consulte Acceso y visualización de tablas y bases de datos compartidas del Catálogo de datos.

    • En lugar de conceder permisos en muchas tablas individuales de una base de datos, utilice el comodín especial Todas las tablas para conceder permisos en todas las tablas de la base de datos. La concesión en Todas las tablas se considera una única concesión. Para obtener más información, consulte Concesión de permisos sobre los recursos del catálogo de datos.

    nota

    Para obtener más información sobre cómo solicitar un límite superior para el número de recursos compartidos AWS RAM, consulte las cuotas de AWS servicio en el Referencia general de AWS.

  • Debe crear un enlace de recursos a una base de datos compartida para que dicha base de datos aparezca en los editores de consultas Amazon Athena y en Amazon Redshift Spectrum. Del mismo modo, para poder consultar tablas compartidas con Athena y Redshift Spectrum, debe crear enlaces de recursos a las tablas. Los enlaces de recursos aparecen entonces en la lista de tablas de los editores de consultas.

    En lugar de crear enlaces de recursos para hace consultas en muchas tablas por separado, puede utilizar el comodín Todas las tablas para conceder permisos en todas las tablas de una base de datos. A continuación, cuando cree un enlace de recursos para esa base de datos y lo seleccione en el editor de consultas, tendrá acceso a todas las tablas de esa base de datos para su consulta. Para obtener más información, consulte Creación de enlaces de recursos.

  • Al compartir recursos directamente con los responsables de otra cuenta, es posible que el IAM principal de la cuenta del destinatario no tenga permiso para crear enlaces a recursos para poder consultar las tablas compartidas mediante Athena y Amazon Redshift Spectrum. En lugar de crear un enlace de recursos para cada tabla compartida, el administrador del lago de datos puede crear una base de datos de marcadores de posición y conceder permisos de CREATE_TABLE al grupo ALLIAMPrincipal. A continuación, todos los IAM directores de la cuenta receptora pueden crear enlaces a recursos en la base de datos de marcadores de posición y empezar a consultar las tablas compartidas.

    Consulta el CLI comando de ejemplo para conceder permisos de entrada. ALLIAMPrincipals Concesión de permisos de base de datos mediante el método de recurso con nombre

  • Athena y Redshift Spectrum admiten el control de acceso a nivel de columna, pero solo para la inclusión, no para la exclusión. Los trabajos no admiten el control de acceso a nivel de columna. AWS Glue ETL

  • Cuando se comparte un recurso con tu AWS cuenta, solo puedes conceder permisos sobre el recurso a los usuarios de tu cuenta. No puedes conceder permisos sobre el recurso a otras AWS cuentas, a organizaciones (ni siquiera a la tuya) ni al IAMAllowedPrincipals grupo.

  • No puede conceder DROP ni Super sobre una base de datos a una cuenta externa.

  • Revoque los permisos entre cuentas antes de eliminar una base de datos o una tabla. De lo contrario, debe eliminar los recursos compartidos huérfanos en AWS Resource Access Manager.

Véase también