本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Lake Formation 中的跨账户数据共享
Lake Formation 跨账户功能允许用户安全地跨多个 AWS 组织共享分布式数据湖 AWS 账户,或者直接与其他账户中的IAM委托人共享分布式数据湖,从而提供对数据目录元数据和底层数据的精细访问权限。大型企业通常使用多个账户 AWS 账户,其中许多账户可能需要访问由单个账户管理的数据湖 AWS 账户。用户以及 AWS Glue 提取、转换和加载 (ETL) 作业可以跨多个账户查询和联接表,但仍然可以利用 Lake Formation 表级和列级数据保护。
当您将数据目录资源的 Lake Formation 权限授予外部账户或直接授予其他账户的IAM委托人时,Lake Formation 会使用 AWS Resource Access Manager (AWS RAM) 服务来共享资源。如果被授权者账户与授予者账户在同一个组织中,则被授权者立即可以使用共享资源。如果被授权者账户不在同一个组织中,则会向被授权者账户 AWS RAM 发送邀请,要求其接受或拒绝资源授予。然后,要使共享资源可用,被授权者账户中的数据湖管理员必须使用 AWS RAM 控制台或接受 AWS CLI 邀请。
Lake Formation 支持在混合访问模式下与外部账户共享数据目录资源。混合访问模式使您可以灵活地且有选择性地为 AWS Glue Data Catalog中的数据库和表启用 Lake Formation 权限。 在混合访问模式下,您现在有了增量路径,可您为一组特定的用户设置 Lake Formation 权限,而不会中断其他现有用户或工作负载的权限策略。
有关更多信息,请参阅 混合访问模式。
直接跨账户共享
授权委托人可以与外部账户中的IAM委托人明确共享资源。当账户所有者想要控制外部账户中谁可以访问资源时,此功能非常有用。IAM委托人获得的权限将是直接授权和向下级联到委托人的账户级别授予的组合。接收方账户的数据湖管理员可以查看直接跨账户授权,但无法撤销权限。获得资源共享的主体不能与其他主体共享该资源。
共享数据目录资源的方法
通过单个 Lake Formation 授权操作,您可以授予对以下数据目录资源的跨账户权限。
-
数据库
-
单个表(带有可选列筛选功能)
-
一些选定表
-
数据库中的所有表(通过使用“所有表”通配符)
您可以通过两种方式与他人 AWS 账户 或另一账户中的IAM委托人共享您的数据库和表。
基于 Lake Formation 标签的访问控制 (LF-TBAC)(推荐)
Lake Formation 基于标签的访问控制是一种授权策略,它根据属性来定义权限。您可以使用基于标签的访问控制与外部IAM委托人、Organizations 和组织单位()共享数据目录资源(OUs数据库、 AWS 账户表和列)。在 Lake Formation 中,这些属性被称为“LF 标签”。有关更多信息,请参阅使用 Lake Formation 基于标签的访问控制管理数据湖。
注意
授予数据目录权限的 LF TBAC 方法 AWS Resource Access Manager 用于跨账户授权。
Lake Formation 现在支持使用 LF TBAC 方法向组织和组织单位授予跨账户权限。
要启用此功能,您需要将跨账户版本设置更新为版本 3。
有关更多信息,请参阅 更新跨账户数据共享版本设置。
-
Lake Formation 命名资源
使用命名资源方法的 Lake Formation 跨账户数据共享允许您向外部 AWS 账户、IAM委托人、组织或组织单位授予 Lake Formation 权限以及数据目录表和数据库的授予选项。授权操作可自动将这些资源共享。
注意
您还可以允许 AWS Glue 爬网程序使用 Lake Formation 凭据访问其他账户中的数据存储。有关更多信息,请参阅 AWS Glue 开发者指南中的跨账户抓取。
Athena 和 Amazon Redshift Spectrum 等集成服务需要资源链接才能在查询中包含共享资源。有关资源链接的更多信息,请参阅资源链接在 Lake Formation 中的工作原理。
有关注意事项和限制,请参阅跨账户数据共享最佳实践和注意事项。
主题
