Compartilhamento de dados entre contas no Lake Formation - AWS Lake Formation

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Compartilhamento de dados entre contas no Lake Formation

Os recursos de várias contas do Lake Formation permitem que os usuários compartilhem com segurança lagos de dados distribuídos em várias AWS organizações ou diretamente com os diretores do IAM em outra conta Contas da AWS, fornecendo acesso refinado aos metadados do Catálogo de Dados e aos dados subjacentes. As grandes empresas geralmente usam várias Contas da AWS, e muitas dessas contas podem precisar acessar um data lake gerenciado por uma única Conta da AWS. Os usuários e as tarefas de AWS Glue extração, transformação e carregamento (ETL) podem consultar e unir tabelas em várias contas e ainda aproveitar as proteções de dados em nível de tabela e coluna do Lake Formation.

Quando você concede permissões do Lake Formation em um recurso do Catálogo de Dados para uma conta externa ou diretamente para um diretor do IAM em outra conta, o Lake Formation usa o serviço AWS Resource Access Manager (AWS RAM) para compartilhar o recurso. Se a conta do concedido estiver na mesma organização da conta do concedente, o recurso compartilhado estará disponível imediatamente para o concedido. Se a conta do beneficiário não estiver na mesma organização, AWS RAM envia um convite à conta do beneficiário para aceitar ou rejeitar a concessão do recurso. Em seguida, para disponibilizar o recurso compartilhado, o administrador do data lake na conta do beneficiário deve usar o AWS RAM console ou AWS CLI aceitar o convite.

O Lake Formation permite o compartilhamento de recursos do catálogo de dados com contas externas no modo de acesso híbrido. O modo de acesso híbrido oferece a flexibilidade de habilitar seletivamente as permissões do Lake Formation para bancos de dados e tabelas no seu AWS Glue Data Catalog.
 Com o modo de acesso híbrido, agora você tem um caminho incremental que permite definir permissões do Lake Formation para um conjunto específico de usuários sem interromper as políticas de permissão de outros usuários ou workloads existentes.

Para ter mais informações, consulte Modo de acesso híbrido.

Compartilhamento direto entre contas

As entidades principais autorizadas podem compartilhar recursos explicitamente com uma entidade principal do IAM em uma conta externa. Esse atributo é útil quando o proprietário da conta deseja ter controle sobre quem na conta externa pode acessar os recursos. As permissões que a entidade principal do IAM receberá serão uma união de concessões diretas e concessões em nível de conta que serão transferidas em cascata para as entidades principais. O administrador do data lake da conta do destinatário pode ver as concessões diretas entre contas, mas não pode revogar as permissões. A entidade principal que recebe o compartilhamento de recursos não pode compartilhar o recurso com outras entidades principais.

Métodos para compartilhar recursos do catálogo de dados

Com uma única operação de concessão do Lake Formation, você pode conceder permissões entre contas nos seguintes recursos do catálogo de dados.

  • Um banco de dados

  • Uma tabela individual (com filtragem de coluna opcional)

  • Algumas tabelas selecionadas

  • Todas as tabelas em um banco de dados (usando o curinga Todas as Tabelas)

Há duas opções para compartilhar seus bancos de dados e tabelas com outra conta Conta da AWS ou com diretores do IAM em outra conta.

  • Controle de acesso baseado em tags do Lake Formation (LF-TBAC) (recomendado)

    O controle de acesso baseado em tags do Lake Formation é uma estratégia de autorização que define permissões com base em atributos. Você pode usar o controle de acesso baseado em tags para compartilhar recursos do Catálogo de Dados (bancos de dados, tabelas e colunas) com diretores externos do IAM, Contas da AWS Organizations and Organizational Units (OUs). No Lake Formation, esses atributos são chamados de tags do LF. Para obter mais informações, consulte Gerenciamento de um data lake usando o controle de acesso baseado em tags do Lake Formation.

    nota

    O método LF-TBAC de conceder permissões de uso do Catálogo de Dados para concessões entre contas. AWS Resource Access Manager

    O Lake Formation agora oferece suporte à concessão de permissões entre contas para organizações e unidades organizacionais usando o método LF-TBAC.

    Para ativar esse recurso, você precisa atualizar as Configurações de versão entre contas para a Versão 3.

    Para ter mais informações, consulte Como atualizar as configurações da versão de compartilhamento de dados entre contas.

  • Recursos nomeados do Lake Formation

    O compartilhamento de dados entre contas do Lake Formation usando o método de recurso nomeado permite que você conceda permissões do Lake Formation com uma opção de concessão em tabelas e bancos de dados do Catálogo de Dados para entidades externas Contas da AWS, diretores do IAM, organizações ou unidades organizacionais. A operação de concessão compartilha automaticamente esses recursos.

nota

Você também pode permitir que o AWS Glue rastreador acesse um armazenamento de dados em uma conta diferente usando as credenciais do Lake Formation. Para obter mais informações, consulte Rastreamento entre contas no AWS Glue Guia do desenvolvedor.

Serviços integrados, como o Athena e o Amazon Redshift Spectrum, exigem links de recursos para poder incluir recursos compartilhados nas consultas. Para obter mais informações sobre os links de recursos, consulte Como os links de recursos funcionam no Lake Formation.

Para conhecer as limitações e as considerações, consulte Práticas recomendadas e considerações sobre compartilhamento de dados entre contas.

Tópicos
Tópicos relacionados da