Práticas recomendadas e considerações sobre compartilhamento de dados entre contas - AWS Lake Formation

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas e considerações sobre compartilhamento de dados entre contas

Os recursos de várias contas do Lake Formation permitem que os usuários compartilhem com segurança lagos de dados distribuídos em várias AWS organizações ou diretamente com IAM diretores em outra conta Contas da AWS, fornecendo acesso refinado aos metadados do Catálogo de Dados e aos dados subjacentes.

Pense nas seguintes práticas recomendadas ao usar o compartilhamento de dados entre contas do Lake Formation:

  • Não há limite para o número de concessões de permissão do Lake Formation que você pode conceder aos diretores em sua própria AWS conta. No entanto, o Lake Formation usa a capacidade AWS Resource Access Manager (AWS RAM) para concessões entre contas que sua conta pode fazer com o método de recurso nomeado. Para maximizar a AWS RAM capacidade, siga estas práticas recomendadas para o método de recurso nomeado:

    • Use o novo modo de concessão entre contas (versão 3 e superior em Configurações de versão entre contas) para compartilhar um recurso com um externo Conta da AWS. Para obter mais informações, consulte Como atualizar as configurações da versão de compartilhamento de dados entre contas.

    • Organize AWS contas em organizações e conceda permissões a organizações ou unidades organizacionais. Uma concessão para uma organização ou unidade organizacional conta como apenas uma concessão.

      A concessão para organizações ou unidades organizacionais também elimina a necessidade de aceitar um convite AWS Resource Access Manager (AWS RAM) de compartilhamento de recursos para a concessão. Para obter mais informações, consulte Acessar e visualizar tabelas e bancos de dados compartilhados do catálogo de dados.

    • Em vez de conceder permissões em várias tabelas individuais do banco de dados, use o curinga especial Todas as tabelas para conceder permissões em todas as tabelas do banco de dados. A concessão em Todas as tabelas conta como uma única concessão. Para obter mais informações, consulte Concedendo permissões nos recursos do Catálogo de Dados.

    nota

    Para obter mais informações sobre como solicitar um limite maior para o número de compartilhamentos de recursos em AWS RAM, consulte cotas AWS de serviço no. Referência geral da AWS

  • Você deve criar um link de recurso para um banco de dados compartilhado para que esse banco de dados apareça nos editores de consulta Amazon Athena e no Amazon Redshift Spectrum. Da mesma forma, para poder consultar tabelas compartilhadas usando o Athena e o Redshift Spectrum, você deve criar links de recursos para as tabelas. Em seguida, os links de recursos aparecem na lista de tabelas dos editores de consulta.

    Em vez de criar links de recursos para várias tabelas individuais para consulta, você pode usar o curinga Todas as tabelas para conceder permissões em todas as tabelas em um banco de dados. Em seguida, ao criar um link de recurso para esse banco de dados e selecionar esse link de recurso de banco de dados no editor de consultas, você terá acesso a todas as tabelas desse banco de dados para sua consulta. Para obter mais informações, consulte Criação de links de recursos.

  • Quando você compartilha recursos diretamente com diretores em outra conta, o IAM principal na conta do destinatário pode não ter permissão para criar links de recursos para poder consultar as tabelas compartilhadas usando o Athena e o Amazon Redshift Spectrum. Em vez de criar um link de recurso para cada tabela compartilhada, o administrador do data lake pode criar um banco de dados provisório e conceder a permissão CREATE_TABLE ao grupo ALLIAMPrincipal. Em seguida, todos os IAM diretores na conta do destinatário podem criar links de recursos no banco de dados de espaços reservados e começar a consultar as tabelas compartilhadas.

    Veja o exemplo de CLI comando para conceder permissões ao ALLIAMPrincipals inConceder permissões de banco de dados usando o método de recurso nomeado.

  • O Athena e o Redshift Spectrum oferecem suporte ao controle de acesso em nível de coluna, mas somente para inclusão, não exclusão. O controle de acesso em nível de coluna não é suportado no AWS Glue ETLempregos.

  • Quando um recurso é compartilhado com sua AWS conta, você pode conceder permissões sobre o recurso somente aos usuários da sua conta. Você não pode conceder permissões sobre o recurso para outras AWS contas, para organizações (nem mesmo para sua própria organização) ou para o IAMAllowedPrincipals grupo.

  • Não é possível conceder DROP ou Super em um banco de dados a uma conta externa.

  • Revogue as permissões entre contas antes de excluir um banco de dados ou uma tabela. Caso contrário, você deverá excluir compartilhamentos de recursos órfãos em. AWS Resource Access Manager

Consulte também