本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
跨帳戶資料共用最佳實務和考量事項
Lake Formation 跨帳戶功能可讓使用者安全地跨多個 AWS 帳戶、 AWS 組織共用分散式資料湖,或直接與另一個帳戶中的IAM主體共用,從而精細存取資料目錄中繼資料和基礎資料。
使用 Lake Formation 跨帳戶資料共用時,請考慮下列最佳實務:
-
您可以對自己 AWS 帳戶中的主體授予 Lake Formation 許可的數量沒有限制。不過,Lake Formation 會使用 AWS Resource Access Manager (AWS RAM) 容量進行跨帳戶授予,您的帳戶可以使用具名資源方法進行授予。若要最大化 AWS RAM 容量,請遵循下列具名資源方法的最佳實務:
-
使用新的跨帳戶授予模式 (跨帳戶版本設定 下的第 3 版及更高版本) 與外部 共用資源 AWS 帳戶。如需詳細資訊,請參閱更新跨帳戶資料共用版本設定。
-
將 AWS 帳戶安排在組織中,並將許可授予組織或組織單位。對組織或組織單位的授予會視為一個授予。
授予組織或組織單位也不需要接受授予的 AWS Resource Access Manager (AWS RAM) 資源共享邀請。如需詳細資訊,請參閱存取和檢視共用資料目錄表格和資料庫。
-
使用特殊的所有資料表萬用字元來授予資料庫內所有資料表的許可,而不是授予資料庫內許多個別資料表的許可。授予所有資料表會視為單一授予。如需詳細資訊,請參閱授予 Data Catalog 資源的許可。
注意
如需在 中請求更高限制資源共用數量的詳細資訊 AWS RAM,請參閱 中的AWS 服務配額AWS 一般參考。
-
-
您必須建立共用資料庫的資源連結,該資料庫才會出現在 Amazon Athena 和 Amazon Redshift Spectrum 查詢編輯器中。同樣地,若要使用 Athena 和 Redshift Spectrum 查詢共用資料表,您必須建立資料表的資源連結。然後,資源連結會出現在查詢編輯器的資料表清單中。
您可以用所有資料表萬用字元來授予資料庫中所有資料表的許可,而不是為許多個別資料表建立資源連結以進行查詢。然後,當您為該資料庫建立資源連結並在查詢編輯器中選取該資料庫資源連結時,您將可以存取該資料庫中查詢的所有資料表。如需詳細資訊,請參閱建立資源連結。
-
當您直接與另一個帳戶中的主體共用資源時,接收者帳戶中的IAM主體可能沒有建立資源連結的許可,以便能夠使用 Athena 和 Amazon Redshift Spectrum 查詢共用資料表。資料湖管理員可以建立預留位置資料庫並授予
ALLIAMPrincipal群組CREATE_TABLE許可,而不是為每個共用的資料表建立資源連結。然後,收件人帳戶中的所有IAM主體都可以在預留位置資料庫中建立資源連結,並開始查詢共用資料表。請參閱
ALLIAMPrincipals中授予許可給 的範例CLI命令使用具名資源方法授予資料庫許可。 -
Athena 和 Redshift Spectrum 支援資料欄層級存取控制,但僅用於包含,而非排除。不支援 中的資料欄層級存取控制 AWS Glue ETL 任務。
-
與 AWS 您的帳戶共用資源時,您只能將資源的許可授予帳戶中的使用者。您無法將資源的許可授予其他 AWS 帳戶、組織 (甚至您自己的組織) 或
IAMAllowedPrincipals群組。 -
您無法將資料庫
Super上的DROP或 授予外部帳戶。 -
在您刪除資料庫或資料表之前,撤銷跨帳戶許可。否則,您必須在 中刪除孤立的資源共用 AWS Resource Access Manager。
另請參閱
-
CREATE_TABLE 中的 Lake Formation 權限參考,以取得更多跨帳戶存取規則和限制。
