Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurare l'accesso al Data Catalog tra più account
Per accedere a un catalogo di dati in un altro account, puoi utilizzare più account di Athena AWS Glue funzionalità o configura l'accesso tra più account in Lake Formation.
Opzione A: configurare l'accesso al catalogo dati tra account diversi in Athena
Puoi utilizzare l'account multiplo di Athena AWS Glue funzione di catalogo per registrare il catalogo nel tuo account. Questa funzionalità è disponibile solo nella versione 2 del motore Athena e versioni successive ed è limitata all'uso della stessa regione tra gli account. Per ulteriori informazioni, consulta Registrare un catalogo dati da un altro account.
Se il Data Catalog da condividere ha una politica delle risorse configurata in AWS Glue, deve essere aggiornato per consentire l'accesso a AWS Resource Access Manager e concedere all'Account B le autorizzazioni per utilizzare il catalogo dati dell'Account A, come nell'esempio seguente.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "ram.amazonaws.com" }, "Action": "glue:ShareResource", "Resource": [ "arn:aws:glue:<REGION>:<ACCOUNT-A>:table/*/*", "arn:aws:glue:<REGION>:<ACCOUNT-A>:database/*", "arn:aws:glue:<REGION>:<ACCOUNT-A>:catalog" ] }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<ACCOUNT-B>:root" }, "Action": "glue:*", "Resource": [ "arn:aws:glue:<REGION>:<ACCOUNT-A>:table/*/*", "arn:aws:glue:<REGION>:<ACCOUNT-A>:database/*", "arn:aws:glue:<REGION>:<ACCOUNT-A>:catalog" ] } ] }
Per ulteriori informazioni, consulta Configurare l'accesso tra account ai cataloghi di AWS Glue dati.
Opzione B: configura l'accesso tra account diversi in Lake Formation
AWS Lake Formation consente di utilizzare un singolo account per gestire un Data Catalog centralizzato. Puoi usare questa funzione per implementare l'accesso tra account nei metadati del Catalogo dati e nei dati sottostanti. Ad esempio, un account proprietario può concedere a un altro account (destinatario) l'autorizzazione SELECT per una tabella.
Affinché un database o una tabella condivisa appaia nell'Editor di query Athena, in Lake Formation crea un collegamento di risorse al database o alla tabella condivisa. Quando l'account del destinatario in Lake Formation interroga la tabella del proprietario, CloudTrailaggiunge l'evento di accesso ai dati ai registri sia per l'account del destinatario che per l'account del proprietario.
Per le visualizzazioni condivise, è importante considerare quanto segue:
-
Le query vengono eseguite sui collegamenti alle risorse di destinazione, non sulla tabella o sulla visualizzazione di origine e quindi l'output viene condiviso con l'account di destinazione.
-
Non è sufficiente condividere solo la visualizzazione. Tutte le tabelle coinvolte nella creazione della visualizzazione devono far parte della condivisione multi-account.
-
Per una visualizzazione condivisa, il nome del collegamento alla risorsa deve corrispondere al nome della risorsa nell'account del proprietario. Se il nome non corrisponde, viene visualizzato un messaggio di errore come «
Failed analyzing stored view» («awsdatacatalog»).verifica «non esiste».my-lf-resource-link.my-lf-view': riga 3:3: Schemaschema_namesi
Per ulteriori informazioni sull'accesso tra più account in Lake Formation, consulta le seguenti risorse nel AWS Lake Formation Guida per gli sviluppatori:
Come funzionano i link alle risorse in Lake Formation
Registrazione su più account CloudTrail
