選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

使用 Lake Formation 標籤型存取控制和具名資源共用資料湖

焦點模式
使用 Lake Formation 標籤型存取控制和具名資源共用資料湖 - AWS Lake Formation

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本教學課程示範如何設定 AWS Lake Formation ,以安全地與多個公司、組織或業務單位共用存放在資料湖中的資料,而不必複製整個資料庫。有兩個選項可讓您 AWS 帳戶 使用 Lake Formation 跨帳戶存取控制,與另一個資料庫和資料表共用:

  • Lake Formation 標籤型存取控制 (建議)

    Lake Formation 標籤型存取控制是一種根據屬性定義許可的授權策略。在 Lake Formation 中,這些屬性稱為 LF-Tags 。如需更多詳細資訊,請參閱 使用 Lake Formation 標籤型存取控制管理資料湖

  • Lake Formation 命名資源

    Lake Formation 命名的資源方法是一種授權策略,可定義資源的許可。資源包括資料庫、資料表和資料欄。Data lake 管理員可以指派和撤銷 Lake Formation 資源的許可。如需更多詳細資訊,請參閱 Lake Formation 中的跨帳戶資料共用

    如果資料湖管理員偏好明確授予許可給個別資源,建議使用具名資源。當您使用具名資源方法將 Data Catalog 資源的 Lake Formation 許可授予外部帳戶時,Lake Formation 會使用 AWS Resource Access Manager (AWS RAM) 共用資源。

目標對象

本教學課程適用於資料管理員、資料工程師和資料分析師。在 Lake Formation 中共用 Data Catalog 資料表 AWS Glue 和管理許可時,生產帳戶中的資料管理員會根據其支援的功能擁有功能所有權,並可以授予各種取用者、外部組織和帳戶的存取權。下表列出本教學課程中使用的角色:

角色 描述
DataLakeAdminProducer 資料湖管理員IAM使用者具有下列存取權:
  • 完整讀取、寫入和更新對 Data Catalog 中所有資源的存取

  • 授予 資源許可的能力

  • 可以建立共用資料表的資源連結

  • 可以將 LF-Tags 連接至 資源,該資源會根據資料管理員建立的任何政策提供主體存取權

DataLakeAdminConsumer

資料湖管理員IAM使用者具有下列存取權:

  • 完整讀取、寫入和更新對 Data Catalog 中所有資源的存取

  • 授予 資源許可的能力

  • 可以建立共用資料表的資源連結

  • 可以將 LF-Tags 連接至 資源,該資源會根據資料管理員建立的任何政策提供主體存取權

DataAnalyst DataAnalyst 使用者具有下列存取權:
  • 精細存取 Lake Formation 標籤型存取政策或使用具名資源方法共用的資源

在生產者帳戶中設定 Lake Formation Data Catalog 設定

開始本教學課程之前,您必須擁有 AWS 帳戶 可用於以具有正確許可的管理使用者身分登入的 。如需詳細資訊,請參閱完成初始 AWS 組態任務

本教學課程假設您熟悉 IAM。如需 的相關資訊IAM,請參閱 IAM 使用者指南

在生產者帳戶中設定 Lake Formation Data Catalog 設定
注意

在本教學課程中,具有來源資料表的帳戶稱為生產者帳戶,而需要存取來源資料表的帳戶稱為取用者帳戶。

Lake Formation 提供自己的許可管理模型。為了保持與IAM許可模型的向後相容性,預設會將Super許可授予所有現有 AWS Glue Data Catalog 資源IAMAllowedPrincipals上的群組。此外,對新的 Data Catalog 資源啟用僅使用IAM存取控制設定。本教學課程使用 Lake Formation 許可的精細存取控制,並使用粗粒存取控制IAM的政策。如需詳細資訊,請參閱 細粒度存取控制的方法。因此,在使用 AWS CloudFormation 範本進行快速設定之前,您需要變更生產者帳戶中的 Lake Formation Data Catalog 設定。

重要

此設定會影響所有新建立的資料庫和資料表,因此我們強烈建議在非生產帳戶或新帳戶中完成此教學課程。此外,如果您使用的是共用帳戶 (例如貴公司的開發帳戶),請確定它不會影響其他資源。如果您偏好保留預設安全設定,則必須在將資源共用至其他帳戶時完成額外的步驟,在其中,您從資料庫或資料表IAMAllowedPrincipals上的 撤銷預設超級許可。我們稍後會在本教學課程中討論詳細資訊。

若要在生產者帳戶中設定 Lake Formation Data Catalog 設定,請完成下列步驟:

  1. AWS Management Console 使用生產者帳戶作為管理員使用者登入 ,或使用 Lake Formation PutDataLakeSettingsAPI許可以使用者登入 。

  2. 在 Lake Formation 主控台的導覽窗格中,在 Data Catalog 下,選擇設定

  3. 取消選取 僅對新資料庫使用IAM存取控制,並僅對新資料庫中的新資料表使用IAM存取控制

    選擇 Save (儲存)。

    Data catalog settings interface for AWS Lake Formation with permission options.

    此外,您可以在 管理角色和任務 資料庫建立者 IAMAllowedPrincipals下移除 的CREATE_DATABASE許可。只有在那時,您才能管理誰可以透過 Lake Formation 許可建立新資料庫。

步驟 1:使用 AWS CloudFormation 範本佈建資源

生產者帳戶的 CloudFormation 範本會產生下列資源:

  • 可用作資料湖的 Amazon S3 儲存貯體。

  • Lambda 函數 (適用於 Lambda 支援的 AWS CloudFormation 自訂資源)。我們使用 函數將範例資料檔案從公有 Amazon S3 儲存貯體複製到您的 Amazon S3 儲存貯體。

  • IAM 使用者和政策: DataLakeAdminProducer。

  • 適當的 Lake Formation 設定和許可,包括:

    • 在生產者帳戶中定義 Lake Formation 資料湖管理員

    • 將 Amazon S3 儲存貯體註冊為 Lake Formation 資料湖位置 (生產者帳戶)

  • AWS Glue Data Catalog 資料庫、資料表和分割區。由於在 之間共用資源有兩個選項 AWS 帳戶,因此此範本會建立兩組單獨的資料庫和資料表。

消費者帳戶的 AWS CloudFormation 範本會產生下列資源:

  • IAM 使用者和政策:

    • DataLakeAdminConsumer

    • DataAnalyst

  • AWS Glue Data Catalog 資料庫。此資料庫用於建立共用資源的資源連結。

在生產者帳戶中建立資源
  1. 在美國東部 (維吉尼亞北部) 的 https://console.aws.amazon.com/cloudformation 登入 AWS CloudFormation 主控台。

  2. 選擇啟動堆疊

  3. 選擇 Next (下一步)

  4. 針對堆疊名稱 ,輸入堆疊名稱,例如 stack-producer

  5. 使用者組態區段中,輸入 和 ProducerDatalakeAdminUserName 的使用者名稱和密碼ProducerDatalakeAdminUserPassword

  6. 針對 DataLakeBucketName,輸入資料湖儲存貯體的名稱。此名稱需要全域唯一。

  7. 對於 DatabaseNameTableName,保留預設值。

  8. 選擇 Next (下一步)

  9. 在下一頁中,選擇下一個

  10. 檢閱最終頁面上的詳細資訊,然後選取我確認 AWS CloudFormation 可能會建立IAM資源

  11. 選擇 Create (建立)。

    堆疊建立最多可能需要一分鐘的時間。

在取用者帳戶中建立資源
  1. 在美國東部 (維吉尼亞北部) 的 https://console.aws.amazon.com/cloudformation 登入 AWS CloudFormation 主控台。

  2. 選擇啟動堆疊

  3. 選擇 Next (下一步)

  4. 對於堆疊名稱 ,輸入堆疊名稱,例如 stack-consumer

  5. 使用者組態區段中,輸入 和 ConsumerDatalakeAdminUserName 的使用者名稱和密碼ConsumerDatalakeAdminUserPassword

  6. 對於 DataAnalystUserNameDataAnalystUserPassword,輸入您想要的資料分析師IAM使用者使用的使用者名稱和密碼。

  7. 針對 DataLakeBucketName,輸入資料湖儲存貯體的名稱。此名稱需要全域唯一。

  8. 對於 DatabaseName,保留預設值。

  9. 針對 AthenaQueryResultS3BucketName,輸入存放 Amazon Athena 查詢結果的 Amazon S3 儲存貯體名稱。 Amazon Athena 如果您沒有 ,請建立 Amazon S3 儲存貯體

  10. 選擇 Next (下一步)

  11. 在下一頁中,選擇下一個

  12. 檢閱最終頁面上的詳細資訊,然後選取我確認 AWS CloudFormation 可能會建立IAM資源

  13. 選擇 Create (建立)。

    堆疊建立最多可能需要一分鐘的時間。

注意

完成教學課程後,在 中刪除堆疊 AWS CloudFormation ,以避免產生費用。確認資源在堆疊的事件狀態中已成功刪除。

步驟 2:Lake Formation 跨帳戶共用先決條件

在與 Lake Formation 共用資源之前,標籤型存取控制方法和具名資源方法都有先決條件。

完整的標籤型存取控制跨帳戶資料共用先決條件
  • 如需跨帳戶資料共用需求的詳細資訊,請參閱跨帳戶資料共用章節中的 必要條件 一節。

    若要與跨帳戶版本設定 的第 3 版或更高版本共用 Data Catalog 資源,授予者需要擁有AWSLakeFormationCrossAccountManager您帳戶中 AWS 受管政策中定義的IAM許可。

    如果您使用的是跨帳戶版本 1 或版本 2 的跨帳戶版本設定,則必須先使用標籤型存取控制方法授予跨帳戶對資源的存取權,才能將下列JSON許可物件新增至生產者帳戶中的 Data Catalog 資源政策。這可讓消費者帳戶在資料目錄glue:EvaluatedByLakeFormationTags為 true 時存取資料目錄。此外,對於您在消費者帳戶中使用 Lake Formation 許可標籤授予許可的資源,此條件會變為 true。 AWS 帳戶 您授予許可的每個 都需要此政策。

    下列政策必須在 Statement元素內。我們在下一節討論完整的IAM政策。

    { "Effect": "Allow", "Action": [ "glue:*" ], "Principal": { "AWS": [ "consumer-account-id" ] }, "Resource": [ "arn:aws:glue:region:account-id:table/*", "arn:aws:glue:region:account-id:database/*", "arn:aws:glue:region:account-id:catalog" ], "Condition": { "Bool": { "glue:EvaluatedByLakeFormationTags": true } } }
完成具名資源方法跨帳戶共用先決條件
  1. 如果您的帳戶中沒有 Data Catalog 資源政策, Lake Formation 跨帳戶會授予您照常進行。不過,如果資料目錄資源政策存在,您必須將下列陳述式新增至其中,以便在使用具名資源方法進行跨帳戶授予時成功。如果您計劃僅使用具名資源方法,或僅使用標籤型存取控制方法,則可以略過此步驟。在本教學課程中,我們會評估這兩種方法,而且我們需要新增下列政策。

    下列政策必須在 Statement元素內。我們在下一節討論完整的IAM政策。

    { "Effect": "Allow", "Action": [ "glue:ShareResource" ], "Principal": { "Service":"ram.amazonaws.com" }, "Resource": [ "arn:aws:glue:region:account-id:table/*/*", "arn:aws:glue:region:account-id:database/*", "arn:aws:glue:region:account-id:catalog" ] }
  2. 接下來,使用 AWS Command Line Interface () 新增 AWS Glue Data Catalog 資源政策AWS CLI。

    如果您同時使用標籤型存取控制方法和具名資源方法授予跨帳戶許可,則必須在新增上述政策時將EnableHybrid引數設定為「true」。由於主控台目前不支援此選項,因此您必須使用 glue:PutResourcePolicyAPI和 AWS CLI。

    首先,建立政策文件 (例如 policy.json) 並新增上述兩個政策。Replace (取代) consumer-account-id 使用 account ID AWS 帳戶 接收授予的 ,region 包含您授予許可之資料庫和資料表的資料目錄區域,以及 account-id 使用生產者 AWS 帳戶 ID。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ram.amazonaws.com" }, "Action": "glue:ShareResource", "Resource": [ "arn:aws:glue:region:account-id:table/*/*", "arn:aws:glue:region:account-id:database/*", "arn:aws:glue:region:account-id:catalog" ] }, { "Effect": "Allow", "Principal": { "AWS": "region:account-id" }, "Action": "glue:*", "Resource": [ "arn:aws:glue:region:account-id:table/*/*", "arn:aws:glue:region:account-id:database/*", "arn:aws:glue:region:account-id:catalog" ], "Condition": { "Bool": { "glue:EvaluatedByLakeFormationTags": "true" } } } ] }

    輸入下列 AWS CLI 命令。Replace (取代) glue-resource-policy 使用正確的值 (例如 file://policy.json)。

    aws glue put-resource-policy --policy-in-json glue-resource-policy --enable-hybrid TRUE

    如需詳細資訊,請參閱 put-resource-policy。

步驟 3:使用標籤型存取控制方法實作跨帳戶共用

在本節中,我們會逐步引導您完成下列高階步驟:

  1. 定義 LF 標籤。

  2. 將 LF-Tag 指派給目標資源。

  3. 將 LF-Tag 許可授予取用者帳戶。

  4. 將資料許可授予取用者帳戶。

  5. 或者,在資料庫、資料表和資料欄IAMAllowedPrincipals上撤銷 的許可。

  6. 建立共用資料表的資源連結。

  7. 建立 LF 標籤並將其指派給目標資料庫。

  8. 將 LF-Tag 資料許可授予取用者帳戶。

定義 LF 標籤
注意

如果您已登入生產者帳戶,請先登出,然後再完成下列步驟。

  1. 以 的資料湖管理員身分登入生產者帳戶https://console.aws.amazon.com/lakeformation/。使用您在堆疊建立期間 AWS CloudFormation 指定的生產者帳戶號碼、IAM使用者名稱 (預設為 DatalakeAdminProducer) 和密碼。

  2. 在 Lake Formation 主控台 (https://console.aws.amazon.com/lakeformation/) 的導覽窗格中,在許可 下,選擇 LF 標籤和許可

  3. 選擇新增 LF 標籤

將 LF-Tag 指派給目標資源

將 LF-Tag 指派給目標資源,並將資料許可授予另一個帳戶

身為資料湖管理員,您可以將標籤連接至資源。如果您打算使用單獨的角色,則可能需要授予描述和附加許可給單獨的角色。

  1. 在導覽窗格中的資料目錄 下,選取資料庫

  2. 選取目標資料庫(lakeformation_tutorial_cross_account_database_tbac),然後在動作功能表中,選擇編輯 LF 標籤

    在此教學課程中,您可以將 LF-Tag 指派給資料庫,但也可以將 LF-Tag 指派給資料表和資料欄。

  3. 選擇指派新的 LF 標籤

  4. 新增索引鍵Confidentiality和值 public

  5. 選擇 Save (儲存)。

授予消費者帳戶的 LF-Tag 許可

仍在生產者帳戶中,授予許可給取用者帳戶以存取 LF-Tag。

  1. 在導覽窗格中的許可 下,選擇 LF 標籤和許可

  2. 選擇 LF-Tags 索引標籤,然後選擇與消費者帳戶共用的 LF-Tag 金鑰金鑰Confidentiality public)。

  3. 選擇 授予許可

  4. 針對許可類型 ,選擇 LF-Tag 鍵值對許可。

  5. 對於主體 ,選擇外部帳戶

  6. 輸入目標 AWS 帳戶 ID

    AWS 帳戶 會自動出現在同一個組織中。否則,您必須手動輸入 AWS 帳戶 ID。

  7. 許可 下,選取描述

    這是提供給消費者帳戶的許可。准許許可是消費者帳戶可以授予其他主體的許可。

  8. 選擇 Grant (授予)。

    此時,消費者資料湖管理員應該能夠在許可 LF 標籤 和許可 下,找到透過消費者帳戶 Lake Formation 主控台共用的政策標籤

授予取用者帳戶資料許可

我們現在將透過指定 LF-Tag 表達式,並授予取用者帳戶任何符合表達式之資料表或資料庫的存取權,來提供取用者帳戶的資料存取權。

  1. 在導覽窗格中,在許可 Data lake 許可 下,選擇授予

  2. 針對主體 ,選擇外部帳戶 ,然後輸入目標 AWS 帳戶 ID。

  3. 對於 LF-Tags 或目錄資源 ,選擇與消費者帳戶共用LF-Tag 金鑰和值 (金鑰Confidentiality public)。

  4. 對於許可 ,在 LF-Tags 相符的資源 (建議) 下,選擇新增 LF-Tag

  5. 選取與消費者帳戶共用之標籤的金鑰 (金鑰Confidentiality和值 public)。

  6. 針對資料庫許可 ,選取在資料庫許可描述,以在資料庫層級授予存取權。

  7. 消費者資料湖管理員應該能夠在 的 Lake Formation 主控台上,在許可 https://console.aws.amazon.com/lakeformation/管理角色和任務 LF 標籤 下,找到透過消費者帳戶共用的政策標籤

  8. 選取在准許許可描述,以便取用者帳戶可以向其使用者授予資料庫層級許可。

  9. 針對資料表和資料欄許可 ,選取選取 並在資料表許可 下描述

  10. 選取 准許許可 下的選取描述

  11. 選擇 Grant (授予)。

在資料庫、資料表和資料欄IAMAllowedPrincipals上撤銷 的許可 (選用)。

在本教學課程的最開始時,您已變更 Lake Formation Data Catalog 設定。如果您略過該部分,則需要此步驟。如果您變更 Lake Formation Data Catalog 設定,可以略過此步驟。

在此步驟中,我們需要撤銷資料庫或資料表IAMAllowedPrincipals上來自 的預設 Super 許可。如需詳細資訊,請參閱 步驟 4:將資料存放區切換至 Lake Formation 許可模型

在撤銷 的許可之前IAMAllowedPrincipals,請確定您已透過 Lake Formation 授予現有IAM主體必要的許可。這包括三個步驟:

  1. 使用 Lake Formation GetDataAccess動作 (含 IAM 政策) 將IAM許可新增至目標IAM使用者或角色。

  2. 授予具有 Lake Formation 資料許可的目標IAM使用者或角色 (變更、選取 等)。

  3. 然後,撤銷 的許可IAMAllowedPrincipals。否則,在撤銷 的許可之後IAMAllowedPrincipals,現有的IAM主體可能無法再存取目標資料庫或資料目錄。

    當您想要套用 Lake Formation 許可模型 (而非IAM政策模型),以使用 Lake Formation 許可模型管理單一帳戶內或多個帳戶之間的使用者存取權時,IAMAllowedPrincipals需要撤銷 的超級許可。您不需要撤銷其他資料表IAMAllowedPrincipals的許可,而您要保留傳統IAM政策模型。

    此時,消費者帳戶資料湖管理員應該能夠在 Lake Formation 主控台的 Data Cataloghttps://console.aws.amazon.com/lakeformation/、資料庫 下,找到透過消費者帳戶共用的資料庫和資料表。如果沒有,請確認下列項目是否已正確設定:

    1. 正確的政策標籤和值會指派給目標資料庫和資料表。

    2. 將正確的標籤許可和資料許可指派給取用者帳戶。

    3. 在資料庫或資料表IAMAllowedPrincipals上從 撤銷預設超級許可。

建立共用資料表的資源連結

在帳戶之間共用資源時,共用資源不會放入取用者帳戶的資料目錄中。為了讓它們可用,並使用 Athena 等服務查詢共用資料表的基礎資料,我們需要建立共用資料表的資源連結。資源連結是 Data Catalog 物件,是本機或共用資料庫或資料表的連結。如需詳細資訊,請參閱 建立資源連結。透過建立資源連結,您可以:

  • 將不同的名稱指派給與您的 Data Catalog 資源命名政策一致的資料庫或資料表。

  • 使用 Athena 和 Redshift Spectrum 等服務來查詢共用資料庫或資料表。

若要建立資源連結,請完成下列步驟:

  1. 如果您已登入您的消費者帳戶,請登出。

  2. 以消費者帳戶資料湖管理員身分登入。使用您在 AWS CloudFormation 堆疊建立期間指定的取用者帳戶 ID、IAM使用者名稱 (預設 DatalakeAdminConsumer) 和密碼。

  3. 在 Lake Formation 主控台 (https://console.aws.amazon.com/lakeformation/) 的導覽窗格中,在 Data Catalog、資料庫 下,選擇共用資料庫 lakeformation_tutorial_cross_account_database_tbac

    如果您看不到資料庫,請重新檢視先前的步驟,以查看是否一切設定正確。

  4. 選擇檢視資料表

  5. 選擇共用資料表 amazon_reviews_table_tbac

  6. 動作功能表中,選擇建立資源連結

  7. 針對資源連結名稱 ,輸入名稱 (本教學課程為 amazon_reviews_table_tbac_resource_link)。

  8. 資料庫 下,選取資源連結在其中建立的資料庫 (在此文章中, AWS CloudFormation N 堆疊已建立資料庫 lakeformation_tutorial_cross_account_database_consumer)。

  9. 選擇 Create (建立)。

    資源連結會顯示在 Data Catalog Tables 下。

建立 LF 標籤並將其指派給目標資料庫

Lake Formation 標籤位於與 資源相同的 Data Catalog 中。這表示在生產者帳戶中建立的標籤在授予取用者帳戶中資源連結的存取權時無法使用。您需要在取用者帳戶中建立一組單獨的 LF 標籤,以便在共用取用者帳戶中的資源連結時,使用 LF 標籤型存取控制。

  1. 在消費者帳戶中定義 LF 標籤。在此教學課程中,我們使用金鑰Division和值 salesmarketinganalyst

  2. 將 LF 標籤金鑰Division和值analyst指派給建立資源連結lakeformation_tutorial_cross_account_database_consumer的資料庫 。

將 LF 標籤資料許可授予取用者

最後,將 LF 標籤資料許可授予取用者。

  1. 在導覽窗格中,在許可 資料湖許可 下,選擇授予

  2. 針對主體 ,選擇IAM使用者和角色 ,然後選擇使用者 DataAnalyst

  3. 對於 LF 標籤或目錄資源 ,選擇符合 LF 標籤的資源 (建議)。

  4. 選擇金鑰分區和分析師。

  5. 針對資料庫許可 ,選取資料庫許可 下的描述

  6. 對於資料表和資料欄許可 ,選取選取 並在資料表許可 下描述

  7. 選擇 Grant (授予)。

  8. 針對使用者 重複這些步驟DataAnalyst,其中 LF-Tag 金鑰為 Confidentiality,值為 public

    此時,消費者帳戶中的資料分析師使用者應該能夠找到資料庫和資源連結,並透過位於 的 Athena 主控台查詢共用資料表https://console.aws.amazon.com/athena/。如果沒有,請確認下列項目是否已正確設定:

    • 為共用資料表建立資源連結

    • 您已授予使用者對生產者帳戶共用的 LF-Tag 的存取權

    • 您已授予使用者存取與資源連結所建立之資源連結和資料庫相關聯的 LF-Tag

    • 檢查您是否已將正確的 LF 標籤指派給資源連結,以及資源連結建立於其中的資料庫

步驟 4:實作具名資源方法

若要使用具名資源方法,我們會逐步引導您完成下列高階步驟:

  1. 或者,在資料庫、資料表和資料欄IAMAllowedPrincipals上撤銷 的許可。

  2. 將資料許可授予取用者帳戶。

  3. 從 接受資源共用 AWS Resource Access Manager。

  4. 建立共用資料表的資源連結。

  5. 將共用資料表的資料許可授予取用者。

  6. 將資源連結的資料許可授予取用者。

在資料庫、資料表和資料欄IAMAllowedPrincipals上撤銷 的許可 (選用)
  • 在本教學課程一開始,我們變更 Lake Formation Data Catalog 設定。如果您略過該部分,則需要此步驟。如需指示,請參閱上一節中的選用步驟。

授予取用者帳戶資料許可
  1. 注意

    如果您以另一個使用者身分登入生產者帳戶,請先登出。

    https://console.aws.amazon.com/lakeformation/ 使用建立 AWS CloudFormation 堆疊期間指定的 AWS 帳戶 ID、IAM使用者名稱 (預設為 DatalakeAdminProducer) 和密碼,使用生產者帳戶資料湖管理員登入 Lake Formation 主控台 。

  2. 許可頁面的 Data lake 許可下,選擇授予

  3. 主體 下,選擇外部帳戶 ,然後輸入一或多個 AWS 帳戶 IDs 或 AWS 組織 IDs。如需詳細資訊,請參閱: AWS Organizations

    生產者帳戶屬於同一組織並在相同 AWS 帳戶 組織內的 組織會自動出現。否則,請手動輸入帳戶 ID 或組織 ID。

  4. 對於 LF 標籤或目錄資源 ,選擇 Named data catalog resources

  5. 資料庫 下,選擇資料庫 lakeformation_tutorial_cross_account_database_named_resource

  6. 選擇新增 LF 標籤

  7. 資料表 下,選擇所有資料表

  8. 針對資料表資料欄許可 ̧ 選擇選取 ,並在資料表許可 下描述

  9. 在 准許許可 下,選取選取描述

  10. 或者,對於資料許可 ,如果需要資料欄層級許可管理,請選擇簡易的資料欄型存取

  11. 選擇 Grant (授予)。

如果您尚未撤銷 的許可IAMAllowedPrincipals,您會收到授予許可失敗錯誤。此時,您應該會在許可、資料許可 下,看到透過 AWS RAM 與取用者帳戶共用的目標資料表。

從 接受資源共用 AWS RAM
注意

只有 AWS 帳戶型共用才需要此步驟,組織型共用則不需要。

  1. https://console.aws.amazon.com/connect/ 使用建立 AWS CloudFormation 堆疊期間指定的IAM使用者名稱 (預設為 DatalakeAdminConsumer) 和密碼,使用消費者帳戶資料湖管理員登入 AWS 主控台 。

  2. 在 AWS RAM 主控台的導覽窗格中,與我共用下,資源共用 ,選擇共用 Lake Formation 資源。狀態應為待定

  3. 選擇動作授予

  4. 確認資源詳細資訊,然後選擇接受資源共用

    此時,消費者帳戶資料湖管理員應該能夠在 Lake Formation 主控台 (https://console.aws.amazon.com/lakeformation/) 的 Data Catalog Databases 下找到共用資源。

建立共用資料表的資源連結
將共用資料表的資料許可授予取用者

若要將共用資料表的資料許可授予取用者,請完成下列步驟:

  1. 在 Lake Formationconsole (https://console.aws.amazon.com/lakeformation/) 上,在許可 Data lake 許可 下,選擇授予

  2. 針對主體 ,選擇IAM使用者和角色 ,然後選擇使用者 DataAnalyst

  3. 針對 LF 標籤或目錄資源 ,選擇具名資料目錄資源

  4. 資料庫 下,選擇資料庫 lakeformation_tutorial_cross_account_database_named_resource。如果您在下拉式清單中看不到資料庫,請選擇載入更多

  5. 資料表 下,選擇資料表 amazon_reviews_table_named_resource

  6. 針對資料表和資料欄許可 ,選取選取 並在資料表許可 下描述

  7. 選擇 Grant (授予)。

將資源連結的資料許可授予取用者

除了授予資料湖使用者存取共用資料表的許可外,您也需要授予資料湖使用者存取資源連結的許可。

  1. 在 Lake Formation 主控台 (https://console.aws.amazon.com/lakeformation/的許可Data lake 許可 下,選擇授予

  2. 針對主體 ,選擇IAM使用者和角色 ,然後選擇使用者 DataAnalyst

  3. 針對 LF 標籤或目錄資源 ,選擇具名資料目錄資源

  4. 資料庫 下,選擇資料庫 lakeformation_tutorial_cross_account_database_consumer。如果您在下拉式清單中看不到資料庫,請選擇載入更多

  5. 資料表 下,選擇資料表 amazon_reviews_table_named_resource_resource_link

  6. 針對資源連結許可 ,選取資源連結許可 下的描述

  7. 選擇 Grant (授予)。

    此時,消費者帳戶中的資料分析師使用者應該能夠找到資料庫和資源連結,並透過 Athena 主控台查詢共用資料表。

    如果沒有,請確認下列項目是否已正確設定:

    • 為共用資料表建立資源連結

    • 您已授予使用者對生產者帳戶共用之資料表的存取權

    • 您已授予使用者資源連結的存取權,以及建立資源連結的資料庫

步驟 5:清除 AWS 資源

若要避免不必要的 費用 AWS 帳戶,您可以刪除用於本教學課程 AWS 的資源。

  1. https://console.aws.amazon.com/lakeformation/ 使用生產者帳戶登入 Lake Formation 主控台 ,然後刪除或變更下列項目:

    • AWS Resource Access Manager 資源共用

    • Lake Formation 標籤

    • AWS CloudFormation 堆疊

    • Lake Formation 設定

    • AWS Glue Data Catalog

  2. https://console.aws.amazon.com/lakeformation/ 使用消費者帳戶登入 Lake Formation 主控台 ,然後刪除或變更下列項目:

    • Lake Formation 標籤

    • AWS CloudFormation 堆疊

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。