Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Berbagi data lintas akun di Lake Formation
Kemampuan lintas akun Lake Formation memungkinkan pengguna untuk berbagi data lake terdistribusi dengan aman di beberapa AWS organisasi Akun AWS, atau langsung dengan prinsipal IAM di akun lain yang menyediakan akses halus ke metadata Katalog Data dan data yang mendasarinya. Perusahaan besar biasanya menggunakan beberapa Akun AWS, dan banyak dari akun tersebut mungkin memerlukan akses ke danau data yang dikelola oleh satu Akun AWS. Pengguna dan pekerjaan AWS Glue ekstrak, transformasi, dan muat (ETL) dapat melakukan kueri dan menggabungkan tabel di beberapa akun dan tetap memanfaatkan perlindungan data tingkat tabel dan tingkat kolom Lake Formation.
Saat Anda memberikan izin Lake Formation pada sumber daya Katalog Data ke akun eksternal atau langsung ke kepala IAM di akun lain, Lake Formation menggunakan layanan AWS Resource Access Manager (AWS RAM) untuk membagikan sumber daya. Jika akun penerima hibah berada di organisasi yang sama dengan akun pemberi hibah, sumber daya bersama segera tersedia untuk penerima hibah. Jika akun penerima hibah tidak berada di organisasi yang sama, AWS RAM kirimkan undangan ke akun penerima hibah untuk menerima atau menolak hibah sumber daya. Kemudian, untuk membuat sumber daya bersama tersedia, administrator data lake di akun penerima hibah harus menggunakan AWS RAM konsol atau AWS CLI untuk menerima undangan.
Lake Formation mendukung berbagi sumber daya Katalog Data dengan akun eksternal dalam mode akses hybrid. Mode akses hibrida memberikan fleksibilitas untuk mengaktifkan izin Lake Formation secara selektif untuk database dan tabel di situs Anda. AWS Glue Data Catalog Dengan mode akses Hybrid, Anda sekarang memiliki jalur tambahan yang memungkinkan Anda mengatur izin Lake Formation untuk kumpulan pengguna tertentu tanpa mengganggu kebijakan izin pengguna atau beban kerja lain yang ada.
Untuk informasi selengkapnya, lihat Mode akses hibrid.
Pembagian lintas akun langsung
Prinsipal resmi dapat berbagi sumber daya secara eksplisit dengan prinsipal IAM di akun eksternal. Fitur ini berguna ketika pemilik akun ingin memiliki kendali atas siapa di akun eksternal yang dapat mengakses sumber daya. Izin yang diterima oleh kepala sekolah IAM adalah gabungan hibah langsung dan hibah tingkat akun yang dialirkan ke kepala sekolah. Administrator data lake dari akun penerima dapat melihat hibah lintas akun langsung, tetapi tidak dapat mencabut izin. Kepala sekolah yang menerima pembagian sumber daya tidak dapat berbagi sumber daya dengan kepala sekolah lain.
Metode untuk berbagi sumber daya Katalog Data
Dengan satu operasi hibah Lake Formation, Anda dapat memberikan izin lintas akun pada sumber daya Katalog Data berikut.
-
Database
-
Tabel individual (dengan penyaringan kolom opsional)
-
Beberapa tabel yang dipilih
-
Semua tabel dalam database (dengan menggunakan wildcard All Tables)
Ada dua opsi untuk berbagi database dan tabel Anda dengan prinsipal lain Akun AWS atau IAM di akun lain.
Kontrol akses berbasis tag Lake Formation (LF-TBAC) (disarankan)
Kontrol akses berbasis tag Lake Formation adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut. Anda dapat menggunakan kontrol akses berbasis tag untuk berbagi sumber daya Katalog Data (database, tabel, dan kolom) dengan prinsipal IAM eksternal Akun AWS, Organizations and organization units (OU). Dalam Lake Formation, atribut ini disebut LF-tag. Untuk informasi selengkapnya, lihat Mengelola data lake menggunakan kontrol akses berbasis tag Lake Formation.
catatan
Metode LF-TBAC untuk memberikan izin Katalog Data digunakan untuk hibah lintas akun. AWS Resource Access Manager
Lake Formation sekarang mendukung pemberian izin lintas akun ke Organizations dan unit organisasi menggunakan metode LF-TBAC.
Untuk mengaktifkan kemampuan ini, Anda perlu memperbarui pengaturan versi Cross account ke Versi 3.
Untuk informasi selengkapnya, lihat Memperbarui pengaturan versi berbagi data lintas akun.
-
Lake Formation bernama sumber daya
Berbagi data lintas akun Lake Formation menggunakan metode sumber daya bernama memungkinkan Anda memberikan izin Lake Formation dengan opsi hibah pada tabel dan database Katalog Data ke eksternal Akun AWS, kepala sekolah IAM, organisasi, atau unit organisasi. Operasi hibah secara otomatis membagikan sumber daya tersebut.
catatan
Anda juga dapat mengizinkan AWS Glue crawler mengakses penyimpanan data di akun yang berbeda menggunakan kredenal Lake Formation. Untuk informasi selengkapnya, lihat Perayapan lintas akun di Panduan AWS Glue Pengembang.
Layanan terintegrasi seperti Athena dan Amazon Redshift Spectrum memerlukan tautan sumber daya untuk dapat menyertakan sumber daya bersama dalam kueri. Untuk informasi selengkapnya tentang tautan sumber daya, lihatCara kerja tautan sumber daya di Lake Formation.
Untuk pertimbangan dan batasan, lihatPraktik dan pertimbangan terbaik berbagi data lintas akun.
Topik
- Prasyarat
- Memperbarui pengaturan versi berbagi data lintas akun
- Berbagi tabel Katalog Data dan database di seluruh Akun AWS atau prinsip-prinsip IAM dari akun eksternal
- Memberikan izin pada database atau tabel yang dibagikan dengan akun Anda
- Memberikan izin tautan sumber daya
- Mengakses data dasar tabel bersama
- Pencatatan lintas akun CloudTrail
- Mengelola izin lintas akun menggunakan keduanya AWS Glue dan Lake Formation
- Melihat semua hibah lintas akun menggunakan operasi API GetResourceShares
Topik terkait
