Lake Formation 中的跨账户数据共享
Lake Formation 跨账户功能让用户能够安全地跨多个 AWS 账户、AWS 组织或者直接与其他账户中的 IAM 主体共享分布式数据湖,从而提供对数据目录元数据和基础数据的细粒度访问权限。大型企业通常使用多个 AWS 账户,其中许多账户可能需要访问由单个 AWS 账户管理的数据湖。用户和AWS Glue提取、转换、加载 (ETL) 作业可以跨多个账户查询和联接表,并且还可以利用 Lake Formation 表级别和列级别数据保护。
当您将对数据目录资源的 Lake Formation 权限授予外部账户或直接授予其他账户中的 IAM 主体时,Lake Formation 会使用 AWS Resource Access Manager (AWS RAM) 服务共享该资源。如果被授权者账户与授予者账户在同一个组织中,则被授权者立即可以使用共享资源。如果被授权者账户不在同一个组织中,则 AWS RAM 会向被授权者账户发送邀请,以便其接受或拒绝资源授权。然后,要使共享资源可用,被授权者账户中的数据湖管理员必须使用 AWS RAM 控制台或 AWS CLI 接受邀请。
Lake Formation 支持在混合访问模式下与外部账户共享数据目录资源。混合访问模式使您可以灵活地且有选择性地为 AWS Glue Data Catalog 中的数据库和表启用 Lake Formation 权限。 在混合访问模式下,您现在有了增量路径,可您为一组特定的用户设置 Lake Formation 权限,而不会中断其他现有用户或工作负载的权限策略。
有关更多信息,请参阅 混合访问模式。
直接跨账户共享
授权主体可以与外部账户中的 IAM 主体显式共享资源。当账户所有者想要控制外部账户中谁可以访问资源时,此功能非常有用。IAM 主体获得的权限将是直接授权和向下级联到主体的账户级别授予的并集。接收方账户的数据湖管理员可以查看直接跨账户授权,但无法撤销权限。获得资源共享的主体不能与其他主体共享该资源。
共享数据目录资源的方法
通过单个 Lake Formation 授权操作,您可以授予对以下数据目录资源的跨账户权限。
-
数据库
-
单个表(带有可选列筛选功能)
-
一些选定表
-
数据库中的所有表(通过使用“所有表”通配符)
您可以通过两种选项与其他 AWS 账户或其他账户中的 IAM 主体共享您的数据库和表。
Lake Formation 基于标签的访问控制 (LF-TBAC)(推荐)
Lake Formation 基于标签的访问控制是一种授权策略,它根据属性来定义权限。您可以使用基于标签的访问控制来与外部 IAM 主体、AWS 账户、组织和组织单位 (OU) 共享数据目录资源(数据库、表和列)。在 Lake Formation 中,这些属性被称为“LF 标签”。有关更多信息,请参阅使用 Lake Formation 基于标签的访问控制管理数据湖。
注意
授予数据目录权限的 LF-TBAC 方法使用 AWS Resource Access Manager 进行跨账户授权。
Lake Formation 现在支持使用 LF-TBAC 方法向组织和组织单位授予跨账户权限。
要启用此功能,您需要将跨账户版本设置更新为版本 3。
有关更多信息,请参阅 更新跨账户数据共享版本设置。
-
Lake Formation 命名资源
使用命名资源方法的 Lake Formation 跨账户数据共享使您可以使用授权选项向外部 AWS 账户、IAM 主体、组织或组织单位授予对数据目录表和数据库的 Lake Formation 权限。授权操作可自动将这些资源共享。
注意
您还可以允许 AWS Glue 爬网程序使用 Lake Formation 凭证访问不同账户中的数据存储。有关更多信息,请参阅《AWS Glue 开发人员指南》中的跨账户爬取。
Athena 和 Amazon Redshift Spectrum 等集成服务需要资源链接才能在查询中包含共享资源。有关资源链接的更多信息,请参阅资源链接在 Lake Formation 中的工作原理。
有关注意事项和限制,请参阅跨账户数据共享最佳实践和注意事项。
主题
