本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Lake Formation 中的跨帳戶資料共用
Lake Formation 跨帳戶功能可讓使用者安全地跨多個 AWS 帳戶、 AWS 組織共用分散式資料湖,或直接與另一個帳戶中的IAM主體共用,提供對資料目錄中繼資料和基礎資料的精細存取。大型企業通常使用多個 AWS 帳戶,而且其中許多帳戶可能需要存取由單一 管理的資料湖 AWS 帳戶。使用者和 AWS Glue 擷取、轉換和載入 (ETL) 任務可以在多個帳戶中查詢和聯結資料表,但仍利用 Lake Formation 資料表層級和資料欄層級資料保護。
當您將 Data Catalog 資源的 Lake Formation 許可授予外部帳戶或直接授予另一個帳戶中的IAM主體時,Lake Formation 會使用 AWS Resource Access Manager (AWS RAM) 服務來共用資源。如果承授者帳戶與承授者帳戶位於同一個組織中,則受授者可立即使用共用資源。如果受讓者帳戶不在同一個組織中, AWS RAM 會傳送邀請給受讓者帳戶,以接受或拒絕資源授予。然後,若要讓共用資源可用,承授者帳戶中的資料湖管理員必須使用 AWS RAM 主控台 AWS CLI 或接受邀請。
Lake Formation 支援在混合存取模式下與外部帳戶共用 Data Catalog 資源。混合存取模式可讓您靈活地選擇性地啟用 中資料庫和資料表的 Lake Formation 許可 AWS Glue Data Catalog。 透過混合存取模式,您現在擁有增量路徑,可讓您為特定使用者集設定 Lake Formation 許可,而不會中斷其他現有使用者或工作負載的許可政策。
如需詳細資訊,請參閱混合存取模式。
直接跨帳戶共用
授權委託人可以與外部帳戶中的IAM委託人明確共用資源。當帳戶擁有者想要控制外部帳戶中誰可以存取 資源時,此功能非常有用。IAM 主體接收的許可將是直接授予的聯合,而帳戶層級授予會串聯到主體。收件人帳戶的資料湖管理員可以檢視直接跨帳戶授予,但無法撤銷許可。接收資源共用的主體無法與其他主體共用資源。
共用 Data Catalog 資源的方法
透過單一 Lake Formation 授予操作,您可以授予下列 Data Catalog 資源的跨帳戶許可。
-
資料庫
-
個別資料表 (具有選用的資料欄篩選)
-
幾個選取的資料表
-
資料庫中的所有資料表 (使用所有資料表萬用字元)
有兩個選項可讓您與另一個帳戶中的另一個 AWS 帳戶 或 IAM主體共用資料庫和資料表。
Lake Formation 標籤型存取控制 (LF-TBAC) (建議)
Lake Formation 標籤型存取控制是一種根據屬性定義許可的授權策略。您可以使用標籤型存取控制,與外部IAM主體、組織和組織單位 () 共用 Data Catalog 資源 (資料庫 AWS 帳戶、資料表和資料欄)OUs。在 Lake Formation 中,這些屬性稱為 LF 標籤。如需詳細資訊,請參閱使用 Lake Formation 標籤型存取控制管理資料湖。
注意
LF-TBAC 授予 Data Catalog 許可 AWS Resource Access Manager 以用於跨帳戶授予的方法。
Lake Formation 現在支援使用 LF TBAC方法將跨帳戶許可授予組織和組織單位。
若要啟用此功能,您需要將跨帳戶版本設定更新為第 3 版。
如需詳細資訊,請參閱更新跨帳戶資料共用版本設定。
-
Lake Formation 命名資源
使用具名資源方法的 Lake Formation 跨帳戶資料共用可讓您將資料目錄資料表和資料庫上的授權選項授予外部 AWS 帳戶、IAM委託人、組織或組織單位。授予操作會自動共用這些資源。
注意
您也可以允許 AWS Glue 爬蟲程式使用 Lake Formation 憑證存取不同帳戶中的資料存放區。如需詳細資訊,請參閱 AWS Glue 開發人員指南中的跨帳戶爬取。
Athena 和 Amazon Redshift Spectrum 等整合服務需要資源連結,才能在查詢中包含共用資源。如需資源連結的詳細資訊,請參閱 資源連結在 Lake Formation 中如何運作。
如需考量和限制,請參閱 跨帳戶資料共用最佳實務和考量事項。
主題
