本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
跨账户访问:如何运作
要启用跨账户访问,您可以将 Lake Formation 权限与数据目录表和数据库(数据目录资源)的授予选项授予外部Amazon账户、组织或组织单位。授权操作会自动共享这些资源。
您不与外部特定委托人共享资源Amazon账户-仅与账户共享资源。向组织或组织单位授予 Lake Formation 权限相当于向每个组织或组织单位授予权限Amazon该组织或组织单位的账户。
有关与共享数据的更多信息Amazon使用Lake Formation 组织,请参阅使用简化跨账户数据共享Amazon Lake Formation和Amazon起源
Lake Formation 基于标签的访问控制 (LF-TBAC) 不支持向组织和组织单位授予跨账户权限。
当您使用命名资源方法向外部账户授予 Lake Formation 对数据目录资源的权限时,Lake Formation 会使用Amazon Resource Access Manager(Amazon RAM) 服务来共享资源。如果被授权者账户与授予者账户位于同一个组织中,则共享资源立即可供被授权者使用。如果被授权者账户不在同一个组织中,Amazon RAM向被授权者账户发送接受或拒绝资源授予的邀请。然后,要使共享资源可用,被授权者账户中的数据湖管理员必须使用Amazon RAM控制台或Amazon CLI以接受邀请。
授予数据目录权限的 Lake Formation 基于标记的访问控制 (LF-TBAC) 方法不使用Amazon RAM用于跨账户授权。因此,跨账户授予可立即使用。有关更多信息,请参阅 Lake Formation 标签访问控制。
通过单个 Lake Formation 授权操作,您可以授予对以下数据目录资源的跨账户权限:
-
数据库
-
单个表(带有可选的列筛选)
-
几个精选的桌子
-
数据库中的所有表(通过使用
All Tables通配符)
在访问共享资源的每个账户中:
-
必须至少有一个用户是数据湖管理员。有关如何创建数据湖管理员的信息,请参阅创建数据湖管理员.
-
数据湖管理员可以查看共享资源并将共享资源的 Lake Formation 权限授予账户中的其他委托人。其他委托人只有在数据湖管理员向他们授予对共享资源的权限后才能访问共享资源。由于数据湖管理员必须向被授权者账户中的委托人授予共享资源的权限,因此必须始终使用 grant 选项授予跨账户权限。
-
对于数据湖管理员和数据湖管理员已向其授予权限的委托人,共享资源在数据目录中显示为本地(拥有)资源。提取、转换和加载 (ETL) 作业可以访问共享资源的底层数据。
-
对于共享资源,表和数据库Lake Formation 控制台上的页面会显示所有者的账户 ID。
-
校长可以创建资源链接在他们的数据目录中转移到另一个共享资源中Amazonaccount. 集成服务,如Amazon Athena和 Amazon Redshift Spectrum 要求资源链接能够在查询中包含共享资源。有关资源链接的更多信息,请参阅资源链接在 Lake Formation 中的工作原理.
-
访问共享资源的基础数据时,Amazon CloudTrail日志事件在共享资源收件人的账户和资源所有者的账户中生成。这些区域有: CloudTrail 事件可以包含访问数据的委托人的 ARN,但前提是收件人账户选择在日志中包含委托人 ARN。有关更多信息,请参阅 跨账户 CloudTrail 记录。
-
是什么AmazonOrganizations中的AmazonOrganizations 用户指南