Condivisione dei dati tramite controllo degli accessi basato su tag - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Condivisione dei dati tramite controllo degli accessi basato su tag

Configurazione obbligatoria sull'account produttore/concedente

  1. Definire un tag LF. Per istruzioni su come creare un tag LF, vedere. Creazione di tag LF

  2. Assegnate il tag LF alla risorsa di destinazione. Per ulteriori informazioni, consulta Assegnazione di tag LF alle risorse del Data Catalog.

  3. Concedi l'autorizzazione LF-Tag all'account esterno. Per ulteriori informazioni, consulta Concessione delle autorizzazioni LF-Tag utilizzando la console.

    A questo punto, l'amministratore del consumer data lake dovrebbe essere in grado di trovare il policy tag condiviso tramite la console dell'account beneficiario Lake Formation, in Autorizzazioni, ruoli e attività amministrativi, LF-Tags.

  4. Concedi l'autorizzazione ai dati all'account esterno/beneficiario.

    1. Nel pannello di navigazione, in Autorizzazioni, Autorizzazioni Data lake, scegli Concedi.

    2. Per Principal, scegli Account esterni e inserisci l' Account AWS ID di destinazione o il ruolo IAM del principale o Amazon Resource Name (ARN) per il principale (ARN principale).

    3. Per i tag LF o le risorse del catalogo, scegli la chiave e i valori del tag LF da condividere con l'account consumatore (chiave e valore). Confidentiality public

    4. Per Autorizzazioni, in Risorse abbinate ai tag LF (consigliato) scegli Aggiungi tag LF.

    5. Seleziona la chiave e il valore del tag che viene condiviso con l'account del beneficiario (chiave e valore). Confidentiality public

    6. Per le autorizzazioni del database, seleziona Descrivi in Autorizzazioni del database per concedere le autorizzazioni di accesso a livello di database.

    7. L'amministratore del consumer data lake dovrebbe essere in grado di trovare il policy tag condiviso tramite l'account consumer sulla console di Lake Formation all'indirizzo https://console.aws.amazon.com/lakeformation/, in Autorizzazioni, ruoli e attività amministrativi, LF-Tags.

    8. Seleziona Descrivi in Autorizzazioni concesse in modo che l'account consumer possa concedere autorizzazioni a livello di database ai suoi utenti.

      Poiché l'amministratore del data lake deve concedere le autorizzazioni sulle risorse condivise ai responsabili dell'account beneficiario, le autorizzazioni per più account devono sempre essere concesse con l'opzione di concessione.

      Nota

      I mandanti che ricevono sovvenzioni dirette tra più account non avranno l'opzione di autorizzazione Grantable.

    9. Per le autorizzazioni per tabelle e colonne, seleziona Seleziona e descrivi in Autorizzazioni per tabelle.

    10. Seleziona Seleziona e descrivi in Autorizzazioni concedibili.

    11. Scegli Concessione.

Configurazione obbligatoria sull'account destinatario/beneficiario

  1. Quando condividi una risorsa con un altro account, la risorsa appartiene ancora all'account del produttore e non è visibile nella console Athena. Per rendere visibile la risorsa nella console Athena, devi creare un link alla risorsa che punti alla risorsa condivisa. Per istruzioni sulla creazione di un collegamento a una risorsa, consulta e Creazione di un collegamento di risorsa a una tabella condivisa del Catalogo dati Creazione di un collegamento di risorsa a un database Data Catalog condiviso

  2. È necessario creare un set separato di tag LF nell'account utente per utilizzare il controllo degli accessi basato su tag LF quando si condividono i link alle risorse. Crea e assegna i tag LF richiesti al database/alle tabelle condivisi e ai link alle risorse.

  3. Concedi le autorizzazioni su questi LF-tag ai principali IAM nell'account del beneficiario.