Condivisione dei dati tra account in Lake Formation - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Condivisione dei dati tra account in Lake Formation

Le funzionalità cross-account di Lake Formation consentono agli utenti di condividere in modo sicuro i data lake distribuiti tra più AWS organizzazioni o direttamente con i responsabili IAM in un altro account Account AWS, fornendo un accesso granulare ai metadati del Data Catalog e ai dati sottostanti. Le grandi aziende in genere utilizzano più Account AWS account e molti di questi account potrebbero aver bisogno di accedere a un data lake gestito da un singolo account. Account AWS Gli utenti e i job di AWS Glue estrazione, trasformazione e caricamento (ETL) possono eseguire query e unire tabelle su più account e sfruttare comunque le protezioni dei dati a livello di tabella e colonna di Lake Formation.

Quando concedi le autorizzazioni di Lake Formation su una risorsa Data Catalog a un account esterno o direttamente a un responsabile IAM in un altro account, Lake Formation utilizza il servizio AWS Resource Access Manager (AWS RAM) per condividere la risorsa. Se l'account del beneficiario appartiene alla stessa organizzazione dell'account concedente, la risorsa condivisa è immediatamente disponibile per il beneficiario. Se l'account del beneficiario non appartiene alla stessa organizzazione, AWS RAM invia un invito all'account del beneficiario per accettare o rifiutare la concessione di risorse. Quindi, per rendere disponibile la risorsa condivisa, l'amministratore del data lake dell'account beneficiario deve utilizzare la console o accettare l' AWS RAM invito. AWS CLI

Lake Formation supporta la condivisione delle risorse del Data Catalog con account esterni in modalità di accesso ibrido. La modalità di accesso ibrido offre la flessibilità necessaria per abilitare selettivamente le autorizzazioni di Lake Formation per database e tabelle del tuo. AWS Glue Data Catalog
 Con la modalità di accesso ibrida, ora disponi di un percorso incrementale che ti consente di impostare le autorizzazioni di Lake Formation per un set specifico di utenti senza interrompere le politiche di autorizzazione di altri utenti o carichi di lavoro esistenti.

Per ulteriori informazioni, consulta Modalità di accesso ibrida.

Condivisione diretta tra account

I responsabili autorizzati possono condividere le risorse in modo esplicito con un responsabile IAM in un account esterno. Questa funzionalità è utile quando il proprietario di un account desidera avere il controllo su chi nell'account esterno può accedere alle risorse. Le autorizzazioni ricevute dal preside IAM saranno costituite da un'unione di concessioni dirette e concessioni a livello di account, che verranno trasferite a cascata ai principali. L'amministratore del data lake dell'account del destinatario può visualizzare le concessioni dirette tra account, ma non può revocare le autorizzazioni. Il principale che riceve la condivisione di risorse non può condividere la risorsa con altri destinatari.

Metodi per condividere le risorse del Data Catalog

Con un'unica operazione di concessione di Lake Formation, puoi concedere autorizzazioni tra account sulle seguenti risorse del Data Catalog.

  • Un database

  • Una tabella singola (con filtro opzionale per le colonne)

  • Alcune tabelle selezionate

  • Tutte le tabelle di un database (utilizzando il carattere jolly Tutte le tabelle)

Esistono due opzioni per condividere database e tabelle con un altro account Account AWS o con i principali IAM di un altro account.

  • Controllo degli accessi basato su tag Lake Formation (LF-TBAC) (consigliato)

    Il controllo degli accessi basato su tag Lake Formation è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. Puoi utilizzare il controllo degli accessi basato su tag per condividere le risorse del Data Catalog (database, tabelle e colonne) con responsabili IAM esterni, Account AWS Organizzazioni e unità organizzative (OU). In Lake Formation, questi attributi sono chiamati LF-tag. Per ulteriori informazioni, consulta Gestione di un data lake utilizzando il controllo degli accessi basato su tag Lake Formation.

    Nota

    Il metodo LF-TBAC per la concessione delle autorizzazioni di Data Catalog viene utilizzato per le concessioni tra account. AWS Resource Access Manager

    Lake Formation ora supporta la concessione di autorizzazioni tra account a Organizzazioni e unità organizzative utilizzando il metodo LF-TBAC.

    Per abilitare questa funzionalità, è necessario aggiornare le impostazioni della versione dell'account Cross alla versione 3.

    Per ulteriori informazioni, consulta Aggiornamento delle impostazioni della versione di condivisione dei dati tra account.

  • Risorse denominate Lake Formation

    La condivisione dei dati tra account di Lake Formation utilizzando il metodo delle risorse denominate consente di concedere le autorizzazioni di Lake Formation con un'opzione di concessione su tabelle e database di Data Catalog a dirigenti Account AWS, organizzazioni o unità organizzative IAM esterni. L'operazione di concessione condivide automaticamente tali risorse.

Nota

Puoi anche consentire al AWS Glue crawler di accedere a un data store in un account diverso utilizzando le credenziali di Lake Formation. Per ulteriori informazioni, consulta la sezione Scansione tra account nella Guida per gli sviluppatori. AWS Glue

I servizi integrati come Athena e Amazon Redshift Spectrum richiedono collegamenti alle risorse per poter includere risorse condivise nelle query. Per ulteriori informazioni sui link alle risorse, consulta. Come funzionano i link alle risorse in Lake Formation

Per considerazioni e limitazioni, vedereBuone pratiche e considerazioni sulla condivisione dei dati tra account.

Argomenti
Argomenti correlati