Lake Formation 中的跨账户数据共享

借助 Lake Formation，您可以使用命名资源方法或 LF 标签，通过简单设置在 AWS 账户内和跨账户共享数据目录资源（数据库和表）。您可以与账户中的任何IAM委托人（IAM角色和用户）、账户级别的其他 AWS 账户或直接共享给另一个账户中的IAM委托人，也可以直接共享整个数据库或从数据库中选择表。

您还可以利用数据筛选条件将数据目录表共享，以限制对行级别和单元格级别详细信息的访问。Lake For AWS Resource Access Manager mation 使用 (AWS RAM) 来简化在账户之间授予权限。在两个账户之间共享资源时， AWS RAM 会向接收方账户发送邀请。当用户接受 AWS RAM 共享邀请时，会向 Lake Formation AWS RAM 提供必要的权限以使用数据目录资源并启用存储级别强制执行。有关更多信息，请参阅 Lake Formation 中的跨账户数据共享。

当接收方账户的数据湖管理员接受共享时， AWS RAM 共享资源将在接收者账户中可用。如果管理员拥有共享资源的权限，则数据湖管理员会向接收者账户中的其他IAM委托人授予对共享资源的更多 Lake Formation GRANTABLE 权限。

但是，如果没有资源链接，主体就无法使用 Athena 或 Redshift Spectrum 来查询共享资源。资源链接是数据目录中的一个实体，类似于 Linux-Symlink 的概念。

接收方账户的数据湖管理员会针对共享资源创建资源链接。管理员会向其他用户授予对资源链接的 Describe 权限以及对原共享资源的必需权限。然后，接收方账户中的用户可以通过该资源链接，使用 Athena 和 Redshift Spectrum 查询共享资源。有关资源链接的更多信息，请参阅创建资源链接。