本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
跨帳戶資料共用最佳做法與考量
Lake Formation 跨帳戶功能可讓使用者在多個 AWS 組織間安全地共用分散式資料湖 AWS 帳戶,或直接與另一個帳戶中的IAM主體共用分散式資料湖,以提供對資料目錄中繼資料和基礎資料的精細存取。
使用 Lake Formation 跨帳戶資料共用時,請考慮下列最佳做法:
-
您可以對自己 AWS 帳戶中的校長進行的 Lake Formation 許可授予的數量沒有限制。但是,Lake Formation 使用 AWS Resource Access Manager (AWS RAM)容量進行您的帳戶可以使用指定的資源方法進行的跨帳戶贈款。若要最大化 AWS RAM 容量,請遵循指定資源方法的下列最佳做法:
-
使用新的跨帳戶授權模式(在「跨帳號版本設定」下的第 3 版及以上版本)與外部 AWS 帳戶人員共用資源。如需詳細資訊,請參閱更新跨帳戶資料共用版本設定。
-
將 AWS 帳戶排列到組織中,並授與權限給組織或組織單位。對組織或組織單位的授權算作一個授權。
授與組織或組織單位也不需要接受授權的 AWS Resource Access Manager (AWS RAM) 資源共用邀請。如需詳細資訊,請參閱存取和檢視共用資料目錄表格和資料庫。
-
請使用特殊的「所有資料表」萬用字元來授與資料庫中所有資料表的權限,而不是授與資料庫中許多個別資料表的權限。對所有資料表進行授與計算為單一授權。如需詳細資訊,請參閱授與資料目錄資源的權限。
注意
如需有關要求提高中資源共用數目限制的詳細資AWS 訊 AWS RAM,請參閱 AWS 一般參考.
-
-
您必須建立共用資料庫的資源連結,該資料庫才會顯示在 Amazon Athena 和 Amazon Redshift Spectrum 查詢編輯器中。同樣地,若要能夠使用 Athena 和 Redshift 頻譜查詢共用資料表,您必須建立資料表的資源連結。然後,資源連結會顯示在查詢編輯器的表格清單中。
您可以使用「所有資料表」萬用字元來授與資料庫中所有資料表的權限,而不是為許多個別資料表建立資源連結以進行查詢。然後,當您為該資料庫建立資源連結,並在查詢編輯器中選取該資料庫資源連結時,您就可以存取該資料庫中的所有表格以供查詢。如需詳細資訊,請參閱建立資源連結。
-
當您直接與其他帳戶中的主體共用資源時,收件者帳戶中的主IAM體可能沒有建立資源連結的權限,無法使用 Athena 和 Amazon Redshift Spectrum 查詢共用資料表。資料湖管理員可以建立預留位置資料庫並將
CREATE_TABLE權限授與ALLIAMPrincipal群組,而不是為每個共用的資料表建立資源連結。接著,收件者帳號中的所有IAM主體都可以在預留位置資料庫中建立資源連結,並開始查詢共用資料表。請參閱中授與權限的範例CLI命令使用指定的資源方法授與資料庫權限。
ALLIAMPrincipals -
Athena 和 Redshift 頻譜支持列級訪問控制,但僅用於包含,不排除。工作不支援欄層級存取控制。AWS Glue ETL
-
當資源與您的 AWS 帳號共用時,您只能將資源的權限授與您帳號中的使用者。您無法將資源的權限授與其他 AWS 帳號、組織 (甚至不是您自己的組織) 或
IAMAllowedPrincipals群組。 -
您無法將資料庫授與
DROP或Super授與外部帳戶。 -
刪除資料庫或資料表之前,請先撤銷跨帳戶權限。否則,您必須刪除中的孤立資源共用。 AWS Resource Access Manager
另請參閱
-
CREATE_TABLE在中,瞭Lake Formation 權限參考解更多跨帳戶存取規則與限制。
