Accesso ai dati sottostanti di una tabella condivisa - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso ai dati sottostanti di una tabella condivisa

Supponiamo che l' AWS account A condivida una tabella del catalogo dati con l'account B, ad esempio concedendo l'opzione di concessione SELECT sulla tabella all'account B. Affinché un responsabile dell'account B sia in grado di leggere i dati sottostanti della tabella condivisa, devono essere soddisfatte le seguenti condizioni:

  • L'amministratore del data lake dell'account B deve accettare la condivisione. (Questo non è necessario se gli account A e B fanno parte della stessa organizzazione o se la concessione è stata concessa con il metodo di controllo degli accessi basato su tag Lake Formation.)

  • L'amministratore del data lake deve concedere nuovamente al principale l'SELECTautorizzazione Lake Formation concessa dall'account A sulla tabella condivisa.

  • Il principale deve disporre delle seguenti autorizzazioni IAM sulla tabella, sul database che la contiene e sull'account A Data Catalog.

    Nota

    Nella seguente politica IAM:

    • Sostituisci <account-id-A>con l' AWS ID dell'account A.

    • Sostituisci <region>con una regione valida.

    • Sostituisci <database>con il nome del database nell'account A che contiene la tabella condivisa.

    • Sostituisci <table>con il nome della tabella condivisa.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "glue:GetTable",
            "glue:GetTables",
            "glue:GetPartition",
            "glue:GetPartitions",
            "glue:BatchGetPartition",
            "glue:GetDatabase",
            "glue:GetDatabases"
           ],
           "Resource": [
            "arn:aws:glue:<region>:<account-id-A>:table/<database>/<table>",
            "arn:aws:glue:<region>:<account-id-A>:database/<database>",
            "arn:aws:glue:<region>:<account-id-A>:catalog"
           ]
        },
        {
          "Effect": "Allow",
          "Action": [
            "lakeformation:GetDataAccess"
           ],
          "Resource": [
            "*"
           ],
          "Condition": {
            "StringEquals": {
              "lakeformation:GlueARN":"arn:aws:glue:<region>:<account-id-A>:table/<database>/<table>"
            }
        }
    }
   ]
}
Consulta anche: