跨账户最佳实践和限制 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨账户最佳实践和限制

以下是跨账户访问的最佳实践和限制:

  • 你可以自己向校长发放的 Lake Formation 许可授予的数量没有限制Amazonaccount. 但是,Lake Formation 使用Amazon Resource Access Manager(Amazon RAM) 跨账户授予的容量,您的账户可以使用命名资源方法进行授权。为了最大限度地提高Amazon RAMcapacity 时,请针对命名资源方法遵循以下最佳实践:

    • 使用新的跨账户授权模式(版本 2跨账户版本设置) 与外部共享资源Amazon Web Services 账户. 有关更多信息,请参阅 授予跨账户资源的权限

    • ArrangeAmazon帐户到组织,并向组织或组织单位授予权限。对组织或组织单位的补助金算作一次补助金。

      授予组织或组织单位也消除了接受Amazon Resource Access Manager(Amazon RAM) 授予的资源共享邀请。有关更多信息,请参阅 访问和查看共享数据目录表和数据库

    • 不要授予对数据库中许多单个表的权限,而是使用特殊的所有桌子通配符可授予对数据库中所有表的权限。授予所有桌子算作单笔补助金。有关更多信息,请参阅 授予和撤消对数据目录资源的权限

    注意

    有关请求提高资源共享数量限制的更多信息Amazon RAM,请参阅Amazon服务配额中的Amazon一般参考.

  • 您必须创建指向共享数据库的资源链接,才能使该数据库显示在Amazon Athena和亚马逊 Redshift Spectrum 查询编辑器 同样,为了能够使用 Athena 和 Redshift Spectrum 查询共享表,您必须创建指向这些表的资源链接。然后,资源链接将出现在查询编辑器的表列表中。

    不必为许多单独的表创建资源链接以进行查询,您可以使用所有桌子通配符可授予对数据库中所有表的权限。然后,当您为该数据库创建资源链接并在查询编辑器中选择该数据库资源链接时,您将可以访问该数据库中用于查询的所有表。有关更多信息,请参阅 创建资源链接

  • Athena 和 Redshift Spectrum 支持列级访问控制,但仅限于包含,不排除。在中不支持列级别访问控制Amazon GlueETL 个作业。

  • 当资源与您的共享时Amazon帐户,您可以仅向您账户中的用户授予对该资源的权限。您无法将资源的权限授予其他用户Amazon账户、组织(甚至不是你自己的组织)或IAMAllowedPrincipals组中)。

  • 您不能授予DROP要么Super在数据库上转移到外部账户。

  • 在删除数据库或表之前撤消跨账户权限。否则,您必须删除中的孤立资源共享Amazon Resource Access Manager.

另请参阅