授予跨账户资源的权限 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予跨账户资源的权限

要启用跨账户访问,您可以将 Lake Formation 权限与数据目录表和数据库(数据目录资源)的授予选项授予外部Amazon账户、组织或组织单位。授权操作会自动共享这些资源。

您不与外部特定委托人共享资源Amazon账户-仅与账户共享资源。向组织或组织单位授予 Lake Formation 权限相当于向每个组织或组织单位授予权限Amazon该组织或组织单位的账户。

Amazon Lake Formation现在提供了新版本的跨账户补助金,可以最佳利用Amazon RAM容量以最大限度地提高跨账户使用率。当你与外部共享资源时Amazon Web Services 账户,Lake Formation 可能会创建新的资源共享或将该资源与现有共享关联。通过与现有共享关联,Lake Formation 减少了消费者需要接受的资源共享邀请的数量。

有关 的更多信息Amazon RAM资源限制,请参阅跨账户最佳实践和限制.

启用新版本

  1. 如果跨账户权限授予者具有AWSLakeFormationCrossAccountManager托管 IAM 策略权限,则跨账户权限授予者角色或委托人不需要额外的权限设置。但是,如果跨账户授予者未使用托管策略,则授予者角色或委托人应具有以下 IAM 权限,新版本的跨账户授予才能成功。

      
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
         "ram:AssociateResourceShare",
         "ram:DisassociateResourceShare",
         "ram:GetResourceShares"
       ],
     "Resource": "*",
     "Condition": {
       "StringLike": {
         "ram:ResourceShareName": "LakeFormation*"
        }
      }
    }
  ]
}

  2. 选择版本 2跨账户版本设置数据目录设置页. 如果你选择版本 1,Lake Formation 将使用默认的资源共享模式。

重要

一旦你选择了版本 2,所有新的授权都将通过新的跨账户授予模式。以最佳方式使用Amazon RAM现有跨账户共享的容量,我们建议您撤销使用旧版本发出的授权,然后在新模式下重新授予。

Amazon Athena 和 Amazon Redshift Spectrum 等集成服务需要资源链接才能在查询中包含共享资源。有关资源链接的更多信息,请参阅资源链接在 Lake Formation 中的工作原理.