以使用者身份管理来自其他账户的数据共享 - Amazon Redshift
关联数据共享从数据使用者中移除数据共享的关联拒绝数据共享

以使用者身份管理来自其他账户的数据共享

借助 Amazon Redshift,您可以使用其它 AWS 账户的数据共享,从而实现跨账户的数据共享和协作。数据共享是在 Amazon Redshift 集群间共享实时数据的一种安全方式,即使这些集群位于不同的 AWS 账户中。以下各节提供了作为使用者配置访问权限、查询共享数据和监控数据共享活动的详细步骤。

关联数据共享

作为使用者集群管理员,您可以将从其它账户共享的一个或多个数据共享与您的整个 AWS 账户或您账户中的特定集群命名空间关联。

  1. 登录 AWS Management Console,然后通过以下网址打开 Amazon Redshift 控制台:https://console.aws.amazon.com/redshiftv2/

  2. 在导航菜单上,选择数据共享。此时将会显示数据共享列表页面。

  3. 选择来自其他账户

  4. 来自其它账户的数据共享部分中,选择要关联的数据共享,并选择关联。出现“关联数据共享”页面时,请选择以下关联类型之一:

    • 选择整个 AWS 账户,以将您的 AWS 账户中不同 AWS 区域的所有现有和未来的集群命名空间关联到该数据共享。然后选择关联

      如果将数据共享发布到 AWS Glue Data Catalog,则只能将数据共享与整个 AWS 账户关联。

    • 选择特定 AWS 区域和集群命名空间,以将一个或多个 AWS 区域和特定集群命名空间关联到该数据共享。

      1. 选择添加区域,将特定 AWS 区域和集群命名空间添加至数据共享。此时将显示添加 AWS 区域页面。

      2. 选择 AWS 区域

      3. 请执行下列操作之一:

        • 选择添加所有集群命名空间,将此区域中的所有现有和未来的集群命名空间添加至数据共享。

        • 选择添加特定集群命名空间将该区域中的一个或多个特定集群命名空间与数据共享关联。

        • 选择一个或多个集群命名空间,然后选择添加 AWS 区域

      4. 选择关联

如果您要将数据共享与 Lake Formation 账户相关联,请前往 Lake Formation 控制台创建数据库,然后定义数据库权限。有关更多信息,请参阅《AWS Lake Formation 开发人员指南》中的为 Amazon Redshift 数据共享设置权限。创建 AWS Glue 数据库或联合数据库后,您可以使用查询编辑器 v2 或任何首选 SQL 客户端与您的使用者集群一起查询数据。有关更多信息,请参阅 以使用者身份使用 Lake Formation 托管的数据共享

关联数据共享后,数据共享将变为可用状态。

您还可以随时更改数据共享关联。将关联从特定 AWS 区域和集群命名空间更改到整个 AWS 账户时,Amazon Redshift 会使用 AWS 账户信息覆盖特定区域和集群命名空间信息。然后,AWS 账户中的所有 AWS 区域和集群命名空间即可访问数据共享。

将关联从特定集群命名空间更改为特定 AWS 区域中的所有集群命名空间后,此区域中的所有集群命名空间均可访问数据共享。

从数据使用者中移除数据共享的关联

作为使用者集群管理员,您可以从数据使用者中删除数据共享的关联。

  1. 登录 AWS Management Console,然后通过以下网址打开 Amazon Redshift 控制台:https://console.aws.amazon.com/redshiftv2/

  2. 在导航菜单上,选择数据共享。此时将会显示数据共享列表页面。

  3. 选择来自其他账户

  4. 来自其他账户的数据共享部分中,选择要从数据使用者中删除关联的数据共享。

  5. 数据使用者部分中,选择要删除关联的一个或多个数据使用者。然后选择删除关联

  6. 当显示“删除关联”页面时,选择删除关联

删除关联后,数据使用者将失去对数据共享的访问权限。您可以随时更改数据使用者关联。

拒绝数据共享

作为使用者集群管理员,您可以拒绝任何状态为可用或活动的数据共享。拒绝数据共享后,使用者集群用户会失去对数据共享的访问权限。在您调用 DescribeDataSharesForConsumer API 操作时,Amazon Redshift 不会返回被拒绝的数据共享。如果生产者集群管理员运行 DescribeDataSharesForProducer API 操作,他们将看到数据共享被拒绝。数据共享被拒绝后,生产者集群管理员可以再次将数据共享授权给使用者集群,而使用者集群管理员可以选择将其 AWS 账户与数据共享关联,也可以拒绝该数据共享。

如果您的 AWS 账户与数据共享关联,并且有一个由 Lake Formation 管理的数据共享关联等待处理,则拒绝由 Lake Formation 管理的数据共享关联也会拒绝原始数据共享。要拒绝特定关联,生产者集群管理员可以从指定数据共享移除授权。此操作不会影响其他数据共享。

要拒绝数据共享,请使用 AWS 控制台、API 操作 RejectDataShare 或 AWS CLI 中的 reject-datashare

要使用 AWS 控制台拒绝数据共享,请执行以下操作:

  1. 登录 AWS Management Console,然后通过以下网址打开 Amazon Redshift 控制台:https://console.aws.amazon.com/redshiftv2/

  2. 在导航菜单上,选择数据共享

  3. 选择来自其他账户

  4. 来自其他账户的数据共享部分中,选择要拒绝的数据共享。当显示拒绝数据共享页面时,请选择拒绝

拒绝数据共享之后,您无法恢复更改。Amazon Redshift 将从列表中移除数据共享。要再次查看数据共享,生产者管理员必须再次对其进行授权。