Configuration de l'accès au catalogue de données entre comptes - Amazon Athena

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l'accès au catalogue de données entre comptes

Pour accéder à un catalogue de données dans un autre compte, vous pouvez utiliser le compte croisé d'Athena AWS Glue proposer ou configurer un accès entre comptes dans Lake Formation.

Option A : configurer l'accès au catalogue de données entre comptes dans Athena

Vous pouvez utiliser le compte croisé d'Athéna AWS Glue fonctionnalité de catalogue pour enregistrer le catalogue dans votre compte. Cette fonctionnalité n'est disponible que dans la version 2 du moteur Athena et les versions ultérieures, et est limitée à l'utilisation de la même région entre les comptes. Pour de plus amples informations, veuillez consulter Enregistrer un catalogue de données à partir d'un autre compte.

Si le catalogue de données à partager possède une politique de ressources configurée dans AWS Glue, il doit être mis à jour pour permettre l'accès au AWS Resource Access Manager et autorisez le compte B à utiliser le catalogue de données du compte A, comme dans l'exemple suivant.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "ram.amazonaws.com" }, "Action": "glue:ShareResource", "Resource": [ "arn:aws:glue:<REGION>:<ACCOUNT-A>:table/*/*", "arn:aws:glue:<REGION>:<ACCOUNT-A>:database/*", "arn:aws:glue:<REGION>:<ACCOUNT-A>:catalog" ] }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<ACCOUNT-B>:root" }, "Action": "glue:*", "Resource": [ "arn:aws:glue:<REGION>:<ACCOUNT-A>:table/*/*", "arn:aws:glue:<REGION>:<ACCOUNT-A>:database/*", "arn:aws:glue:<REGION>:<ACCOUNT-A>:catalog" ] } ] }

Pour de plus amples informations, veuillez consulter Configurer l'accès entre comptes à AWS Glue catalogues de données.

Option B : configurer l'accès entre comptes dans Lake Formation

AWS Lake Formation vous permet d'utiliser un seul compte pour gérer un catalogue de données central. Vous pouvez utiliser cette fonction pour implémenter l'accès entre comptes aux métadonnées du catalogue de données et aux données sous-jacentes. Par exemple, un compte propriétaire peut accorder à un autre compte (destinataire) une autorisation SELECT sur une table.

Pour qu'une base de données ou une table partagée apparaisse dans l'éditeur de requête Athena, vous devez créer un lien de ressource dans Lake Formation vers la base de données ou la table partagée. Lorsque le compte du destinataire dans Lake Formation interroge la table du propriétaire, il CloudTrailajoute l'événement d'accès aux données aux journaux du compte du destinataire et du compte du propriétaire.

Pour les vues partagées, gardez à l'esprit les points suivants :

  • Les requêtes sont exécutées sur des liens de ressources cibles, et non sur la table ou la vue source, puis la sortie est partagée avec le compte cible.

  • Il ne suffit pas de partager uniquement le point de vue. Toutes les tables impliquées dans la création de la vue doivent faire partie du partage entre comptes.

  • Le nom du lien de la ressource créé sur les ressources partagées doit correspondre au nom de la ressource dans le compte du propriétaire. Si le nom ne correspond pas, un message d'erreur tel que «  Failed analyzing stored view 'awsdatacatalog » apparaît.my-lf-resource-link.my-lf-view': ligne 3:3 : Schéma schema_name n'existe pas se produit.

Pour plus d'informations sur l'accès entre comptes à Lake Formation, consultez les ressources suivantes dans le AWS Lake Formation Guide du développeur  :

Permettre l'accès entre comptes

Mode de fonctionnement des liens des ressources dans Lake Formation

Journalisation entre comptes CloudTrail