本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Lake Formation 的跨賬戶數據共享
Lake Formation 跨帳戶功能可讓使用者在多個 AWS 組織間安全地共用分散式資料湖 AWS 帳戶,或直接與其他帳戶中的 IAM 主體共用分散式資料湖,從而提供對資料型錄中繼資料和基礎資料的精細存取。大型企業通常使用多個帳戶 AWS 帳戶,其中許多帳戶可能需要存取由單一管理的資料湖 AWS 帳戶。使用者和 AWS Glue 擷取、轉換和載入 (ETL) 工作可以查詢和聯結多個帳戶之間的資料表,並且仍可利用 Lake Formation 資料表層級和資料行層級資料保護。
當您將資料目錄資源的 Lake Formation 權限授與外部帳戶或直接授與其他帳戶中的 IAM 主體時,Lake Formation 會使用 AWS Resource Access Manager (AWS RAM) 服務來共用資源。如果受權者帳號與授與者帳號位於相同的組織中,則共用資源可立即供受權者使用。如果受權者帳號不在同一個組織中,則 AWS RAM 會傳送邀請給受權者帳戶,以接受或拒絕資源授與。然後,若要使共用資源可用,受權者帳戶中的資料湖管理員必須使用 AWS RAM 主控台或 AWS CLI 接受邀請。
Lake Formation 支援以混合式存取模式與外部帳戶共用資料目錄資源。混合式存取模式提供彈性 Lake Formation 可選擇性地啟用 AWS Glue Data Catalog. 透過混合式存取模式,您現在擁有一個增量路徑,可讓您為一組特定使用者設定 Lake Formation 權限,而不會中斷其他現有使用者或工作負載的權限原則。
如需詳細資訊,請參閱 混合存取模式。
直接跨帳戶共享
授權的主體可以與外部帳戶中的 IAM 主體明確共用資源。當帳戶擁有者想要控制外部帳戶中的哪些人可以存取資源時,此功能非常有用。IAM 主體收到的許可將是直接授權的聯合,以及串聯至主體的帳戶層級授權。收件者帳戶的資料湖管理員可以檢視直接跨帳戶授與,但無法撤銷權限。接收資源共用的主參與者無法與其他主參與者共用資源。
共用資料目錄資源的方法
透過單一 Lake Formation 授與作業,您可以授與下列資料目錄資源的跨帳戶權限。
-
一個數據庫
-
一個單獨的表(具有可選的列過濾)
-
幾個選擇的表
-
資料庫中的所有資料表 (使用「所有資料表」萬用字元)
有兩個選項可與另一個帳戶中的其他主體 AWS 帳戶 或 IAM 主體共用您的資料庫和表格。
基於 Lake Formation 標籤的訪問控制(LF-TBAC)(推薦)
以 Lake Formation 標籤為基礎的存取控制是一種授權策略,可根據屬性定義權限。您可以使用以標籤為基礎的存取控制,與外部 IAM 主體、組織和組織單位 (OU) 共用資料目錄資源 (資料庫 AWS 帳戶、表格和欄)。在 Lake Formation,這些屬性被稱為 LF-標籤。如需詳細資訊,請參閱使用以 Lake Formation 標籤為基礎的存取控制來管理資料湖。
注意
授與資料目錄權限的 LF-TBAC 方法,用 AWS Resource Access Manager 於跨帳戶授與。
Lake Formation 現在支持使用 LF-TBAC 方法向組 Organizations 和組織單位授予跨帳戶權限。
若要啟用此功能,您需要將跨帳戶版本設定更新為版本 3。
如需詳細資訊,請參閱 更新跨帳戶資料共用版本設定。
-
Lake Formation 命名資源
使用具名資源方法的 Lake Formation 跨帳戶資料共用,可讓您將 Lake Formation 權限以及「資料目錄」表格和資料庫的授與選項授與外部 AWS 帳戶、IAM 主體、組織或組織單位。授權作業會自動共用這些資源。
注意
您也可以允許 AWS Glue 爬蟲使用 Lake Formation 認證存取其他帳戶中的資料存放區。如需詳細資訊,請參閱 AWS Glue 開發人員指南中的跨帳戶檢索。
Athena 和 Amazon Redshift Spectrum 等整合式服務需要資源連結才能在查詢中包含共用資源。如需有關資源連結的詳細資訊,請參閱資源連結在 Lake Formation 中如何運作。
如需考量和限制,請參閱跨帳戶資料共用最佳做法與考量。
主題
