本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定跨帳戶資料目錄存取權
若要存取其他帳戶中的資料目錄,您可以使用 Athena 的跨帳戶 AWS Glue 在 Lake Formation 中設置或設置跨帳戶訪問權限。
選項 A:在 Athena 中設定跨帳戶資料目錄存取權
您可以使用雅典娜的跨帳戶 AWS Glue 目錄功能可在您的帳戶中註冊目錄。僅 Athena 引擎版本 2 及更新版本中提供此功能,且僅限於帳戶之間的相同區域使用。如需詳細資訊,請參閱從其他帳戶註冊資料目錄。
如果要共用的資料目錄已在 AWS Glue,必須更新才能允許存取 AWS Resource Access Manager 並授與帳戶 B 使用帳戶 A 資料目錄的權限,如下列範例所示。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "ram.amazonaws.com" }, "Action": "glue:ShareResource", "Resource": [ "arn:aws:glue:<REGION>:<ACCOUNT-A>:table/*/*", "arn:aws:glue:<REGION>:<ACCOUNT-A>:database/*", "arn:aws:glue:<REGION>:<ACCOUNT-A>:catalog" ] }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<ACCOUNT-B>:root" }, "Action": "glue:*", "Resource": [ "arn:aws:glue:<REGION>:<ACCOUNT-A>:table/*/*", "arn:aws:glue:<REGION>:<ACCOUNT-A>:database/*", "arn:aws:glue:<REGION>:<ACCOUNT-A>:catalog" ] } ] }
如需詳細資訊,請參閱設定跨帳戶存取 AWS Glue 資料目錄。
選項 B:在 Lake Formation 中配置跨帳戶訪問
AWS Lake Formation 可讓您使用單一帳戶來管理中央資料目錄。您可以使用此功能來實作對資料目錄中繼資料和基礎資料的跨帳戶存取。例如,擁有者帳戶可以授予另一個 (收件人) 帳戶對資料表的 SELECT 許可。
若要在 Athena 查詢編輯器中顯示共用的資料庫或資料表,您需在 Lake Formation 中對共用的資料庫或資料表建立資源連結。當 Lake Formation 中的收件者帳戶查詢擁有者的資料表時,會將資料存取事件CloudTrail新增至收件者帳戶和擁有者帳戶的記錄中。
如需共用視圖,請謹記下列要點:
-
在目標資源連結上執行,而不是來源資料表或視圖上執行查詢,然後將輸出共用到目標帳戶。
-
僅共用視圖並不足夠。建立視圖所涉及的所有資料表必須是跨帳戶共用的一部分。
-
在共用資源上建立的資源連結的名稱必須與擁有者帳戶中的資源名稱相符。如果名稱不匹配,則出現錯誤消息,如分析存儲視圖 'aws數據atalog
失敗。發生。my-lf-resource-link.my-lf-view': 第 3:3 行:綱要schema_name不存在
有關 Lake Formation 中跨帳戶訪問的更多信息,請參閱以下資源 AWS Lake Formation 開發人員指南:
