Compartilhamento de dados entre contas no Lake Formation - AWS Lake Formation

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Compartilhamento de dados entre contas no Lake Formation

Com o Lake Formation, você pode compartilhar recursos do catálogo de dados (bancos de dados e tabelas) dentro de uma conta AWS e entre contas em uma configuração simples usando o método de recurso nomeado ou tags do LF. Você pode compartilhar um banco de dados inteiro ou selecionar tabelas de um banco de dados para qualquer IAM diretor (IAMfunções e usuários) em uma conta, para outras AWS contas no nível da conta ou diretamente para IAM os principais em outra conta.

Você também pode compartilhar tabelas do catálogo de dados com filtros de dados para restringir o acesso aos detalhes em nível de linha e de célula. Lake Formation usa AWS Resource Access Manager (AWS RAM) para facilitar a concessão de permissões entre contas. Quando um recurso é compartilhado entre duas contas, AWS RAM envia convites para a conta do destinatário. Quando um usuário aceita um convite de AWS RAM compartilhamento, AWS RAM fornece as permissões necessárias para que o Lake Formation tenha os recursos do Catálogo de Dados disponíveis, bem como habilite a imposição do nível de armazenamento. Para obter mais informações, consulte Compartilhamento de dados entre contas no Lake Formation.

Quando o administrador do data lake da conta do destinatário aceita o AWS RAM compartilhamento, os recursos compartilhados ficam disponíveis na conta do destinatário. O administrador do data lake concede mais permissões do Lake Formation no recurso compartilhado a outros IAM diretores na conta do destinatário, se o administrador tiver GRANTABLE permissões sobre o recurso compartilhado.

No entanto, as entidades principais não podem consultar os recursos compartilhados usando o Athena ou o Redshift Spectrum sem um link de recurso. Um link de recurso é uma entidade no catálogo de dados e é semelhante ao conceito de Linux-Symlink.

O administrador do data lake da conta do destinatário cria um link no recurso compartilhado. O administrador concede permissões Describe no link do recurso com as permissões necessárias no recurso compartilhado original para outros usuários. Um usuário na conta do destinatário pode então usar o link para consultar o recurso compartilhado usando o Athena e o Redshift Spectrum. Para obter mais informações sobre links de recursos, consulte Criação de links de recursos.