Konfigurasikan akses Katalog Data lintas akun - Amazon Athena
Opsi A: Konfigurasikan akses Katalog Data lintas akun di AthenaOpsi B: Konfigurasikan akses lintas akun di Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan akses Katalog Data lintas akun

Untuk mengakses katalog data di akun lain, Anda dapat menggunakan akun silang Athena AWS Glue fitur atau mengatur akses lintas akun di Lake Formation.

Opsi A: Konfigurasikan akses Katalog Data lintas akun di Athena

Anda dapat menggunakan cross-account Athena AWS Glue fitur katalog untuk mendaftarkan katalog di akun Anda. Kemampuan ini hanya tersedia di mesin Athena versi 2 dan versi yang lebih baru dan terbatas pada penggunaan wilayah yang sama antar akun. Untuk informasi selengkapnya, lihat Daftarkan Katalog Data dari akun lain.

Jika Katalog Data yang akan dibagikan memiliki kebijakan sumber daya yang dikonfigurasi AWS Glue, itu harus diperbarui untuk memungkinkan akses ke AWS Resource Access Manager dan memberikan izin ke Akun B untuk menggunakan Katalog Data Akun A, seperti pada contoh berikut. 

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": "ram.amazonaws.com"
        },
        "Action": "glue:ShareResource",
        "Resource": [
          "arn:aws:glue:<REGION>:<ACCOUNT-A>:table/*/*", 
          "arn:aws:glue:<REGION>:<ACCOUNT-A>:database/*", 
          "arn:aws:glue:<REGION>:<ACCOUNT-A>:catalog"
        ]
    }, 
    {
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::<ACCOUNT-B>:root"
        },
        "Action": "glue:*",
        "Resource": [
          "arn:aws:glue:<REGION>:<ACCOUNT-A>:table/*/*", 
          "arn:aws:glue:<REGION>:<ACCOUNT-A>:database/*", 
          "arn:aws:glue:<REGION>:<ACCOUNT-A>:catalog"
        ]
    }
    ]
}

Untuk informasi selengkapnya, lihat Konfigurasikan akses lintas akun ke AWS Glue katalog data.

Opsi B: Konfigurasikan akses lintas akun di Lake Formation

AWS Lake Formation memungkinkan Anda menggunakan satu akun untuk mengelola Katalog Data pusat. Anda dapat menggunakan fitur ini untuk menerapkanAkses lintas akununtuk metadata Katalog Data dan data yang mendasari. Misalnya, akun pemilik dapat memberikan akun (penerima) lain izin SELECT terhadap tabel.

Untuk basis data bersama atau tabel untuk muncul di Athena Kueri Editor, Andabuat tautan sumber dayadi Lake Formation ke basis data bersama atau tabel. Saat akun penerima di Lake Formation menanyakan tabel pemilik, CloudTrailmenambahkan peristiwa akses data ke log untuk akun penerima dan akun pemilik.

Untuk tampilan bersama, ingatlah hal-hal berikut:

  • Kueri dijalankan pada link sumber daya target, bukan pada tabel sumber atau tampilan, dan kemudian output dibagikan ke akun target.

  • Tidak cukup hanya berbagi pandangan. Semua tabel yang terlibat dalam membuat tampilan harus menjadi bagian dari pangsa lintas akun.

  • Nama tautan sumber daya yang dibuat pada sumber daya bersama harus cocok dengan nama sumber daya di akun pemilik. Jika nama tidak cocok, pesan kesalahan seperti Gagal menganalisis tampilan tersimpan 'awsdatacatalog.my-lf-resource-link.my-lf-view': baris 3:3: Skema schema_name tidak ada terjadi.

Untuk informasi selengkapnya tentang akses lintas akun di Lake Formation, lihat sumber daya berikut di AWS Lake Formation Panduan Pengembang:

Akses lintas akun

Cara kerja tautan sumber daya di Lake Formation

Pencatatan lintas akun CloudTrail