Partage de données entre comptes dans Lake Formation

Les fonctionnalités multi-comptes de Lake Formation permettent aux utilisateurs de partager en toute sécurité des lacs de données distribués entre plusieurs AWS organisations ou directement avec IAM les responsables d'un autre compte Comptes AWS, offrant ainsi un accès détaillé aux métadonnées du catalogue de données et aux données sous-jacentes. Les grandes entreprises en utilisent généralement plusieurs Comptes AWS, et bon nombre de ces comptes peuvent avoir besoin d'accéder à un lac de données géré par un seul Compte AWS. Les utilisateurs et les tâches AWS Glue d'extraction, de transformation et de chargement (ETL) peuvent interroger et joindre des tables sur plusieurs comptes tout en profitant des protections des données au niveau des tables et des colonnes de Lake Formation.

Lorsque vous accordez à Lake Formation des autorisations sur une ressource du catalogue de données à un compte externe ou directement IAM à un responsable d'un autre compte, Lake Formation utilise le service AWS Resource Access Manager (AWS RAM) pour partager la ressource. Si le compte du bénéficiaire appartient à la même organisation que le compte du donateur, la ressource partagée est immédiatement accessible au bénéficiaire. Si le compte du bénéficiaire n'appartient pas à la même organisation, AWS RAM envoie une invitation au compte du bénéficiaire pour qu'il accepte ou rejette la subvention de ressources. Ensuite, pour rendre la ressource partagée disponible, l'administrateur du lac de données du compte bénéficiaire doit utiliser la AWS RAM console ou AWS CLI accepter l'invitation.

Lake Formation prend en charge le partage des ressources du catalogue de données avec des comptes externes en mode d'accès hybride. Le mode d'accès hybride offre la flexibilité d'activer de manière sélective les autorisations de Lake Formation pour les bases de données et les tables de votre AWS Glue Data Catalog.
 Avec le mode d'accès hybride, vous disposez désormais d'un chemin incrémentiel qui vous permet de définir les autorisations de Lake Formation pour un ensemble spécifique d'utilisateurs sans interrompre les politiques d'autorisation des autres utilisateurs ou charges de travail existants.

Pour de plus amples informations, veuillez consulter Mode d'accès hybride.

Partage direct entre comptes

Les principaux autorisés peuvent partager des ressources de manière explicite avec un IAM mandant sur un compte externe. Cette fonctionnalité est utile lorsqu'un propriétaire de compte souhaite contrôler les utilisateurs du compte externe qui peuvent accéder aux ressources. Les autorisations que le IAM directeur recevra seront une combinaison de subventions directes et de subventions au niveau du compte, qui seront répercutées en cascade sur les principaux. L'administrateur du lac de données du compte bénéficiaire peut consulter les autorisations directes entre comptes, mais ne peut pas révoquer les autorisations. Le principal qui reçoit la part de ressources ne peut pas partager la ressource avec d'autres principaux.

Méthodes de partage des ressources du catalogue de données

Avec une seule opération de subvention Lake Formation, vous pouvez accorder des autorisations entre comptes sur les ressources du catalogue de données suivantes.

Il existe deux options pour partager vos bases de données et vos tables avec un autre compte Compte AWS ou avec IAM les principaux utilisateurs d'un autre compte.

Les services intégrés tels qu'Athena et Amazon Redshift Spectrum nécessitent des liens de ressources pour pouvoir inclure des ressources partagées dans les requêtes. Pour plus d'informations sur les liens vers des ressources, consultezMode de fonctionnement des liens des ressources dans Lake Formation.

Pour les considérations et les limites, voirMeilleures pratiques et considérations relatives au partage de données entre comptes.