以使用者身份关联或拒绝数据共享(预览版)
使用 Amazon Redshift,您可以关联或拒绝其它 Amazon 账户共享的数据共享,从而实现跨组织边界的无缝、安全数据共享。数据共享是可共享的数据库对象,封装了来自一个或多个 Amazon Redshift 数据库的数据。以下各节将演示关联或拒绝数据共享的过程,使您能够在 Amazon Redshift 环境中充分释放共享数据资源的潜力。
关联数据共享
此文档为预发行文档,介绍了通过 Amazon Redshift 数据共享功能进行多数据仓库写入,该功能在 PREVIEW_2023 版本的公开预览版中提供。文档和特征都可能会更改。我们建议您只在测试集群中使用此功能,而不要在生产环境中使用。有关预览条款和条件,请参阅 Amazon 服务条款 |
有关开始使用数据共享的更多信息,请转到共享对数据的写入访问权限(预览版)。
作为使用者集群管理员,您可以将从其它账户共享的一个或多个数据共享与您的整个 Amazon 账户或您账户中的特定集群命名空间关联。
登录 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Redshift 控制台:https://console.aws.amazon.com/redshiftv2/
。 在导航菜单上,选择数据共享。此时将会显示数据共享列表页面。选择来自其他账户。
在来自其它账户的数据共享部分中,选择要关联的数据共享,并选择关联。出现关联数据共享页面时,请选择以下关联类型之一:
选择整个 Amazon 账户,以将您的 Amazon 账户中不同 Amazon 区域的所有现有和未来的集群命名空间关联到该数据共享。
如果将数据共享发布到 Amazon Glue Data Catalog,则只能将数据共享与整个 Amazon 账户关联。
您可以从这里选择允许的权限。可选项有:
只读 - 如果您选择只读,则使用者无法使用诸如 UPDATE 或 INSERT 之类的写入权限,即使这些权限是在生产者上授予和授权的。
读写 – 使用者数据共享用户将拥有生产者授予和授权的所有权限,包括读取和写入权限。
或者,选择特定 Amazon 区域和集群命名空间,以将一个或多个 Amazon 区域和特定集群命名空间关联到该数据共享。选择添加区域,将特定 Amazon 区域和集群命名空间添加至数据共享。此时将显示添加 Amazon 区域页面。
选择 Amazon 区域。
请执行下列操作之一:
选择添加所有集群命名空间,将此区域中的所有现有和未来的集群命名空间添加至数据共享。
选择添加特定集群命名空间将该区域中的一个或多个特定集群命名空间与数据共享关联。
选择一个或多个集群命名空间,然后选择添加 Amazon 区域。
选择关联。
生产者可以返回并更改授权设置,这可能会影响使用者的关联设置。
如果您要将数据共享与 Lake Formation 账户相关联,请前往 Lake Formation 控制台创建数据库,然后定义数据库权限。有关更多信息,请参阅《Amazon Lake Formation 开发人员指南》中的为 Amazon Redshift 数据共享设置权限。创建 Amazon Glue 数据库或联合数据库后,您可以使用查询编辑器 v2 或任何首选 SQL 客户端与您的使用者集群一起查询数据。
关联数据共享后,数据共享将变为可用状态。
您还可以随时更改数据共享关联。将关联从特定 Amazon 区域和集群命名空间更改到整个 Amazon 账户时,Amazon Redshift 会使用 Amazon 账户信息覆盖特定区域和集群命名空间信息。然后,Amazon 账户中的所有 Amazon 区域和集群命名空间即可访问数据共享。
将关联从特定集群命名空间更改为特定 Amazon 区域中的所有集群命名空间后,此区域中的所有集群命名空间均可访问数据共享。
从数据使用者中移除数据共享的关联
作为使用者集群管理员,您可以从数据使用者中删除数据共享的关联。
登录 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Redshift 控制台:https://console.aws.amazon.com/redshiftv2/
。 -
在导航菜单上,选择数据共享。此时将会显示数据共享列表页面。
-
选择来自其他账户。
-
在来自其他账户的数据共享部分中,选择要从数据使用者中删除关联的数据共享。
-
在数据使用者部分中,选择要删除关联的一个或多个数据使用者。然后选择删除关联。
-
当显示“删除关联”页面时,选择删除关联。
删除关联后,数据使用者将失去对数据共享的访问权限。您可以随时更改数据使用者关联。
拒绝数据共享
作为使用者集群管理员,您可以拒绝任何状态为可用或活动的数据共享。拒绝数据共享后,使用者集群用户会失去对数据共享的访问权限。在您调用 DescribeDataSharesForConsumer
API 操作时,Amazon Redshift 不会返回被拒绝的数据共享。如果生产者集群管理员运行 DescribeDataSharesForProducer
API 操作,他们将看到数据共享被拒绝。数据共享被拒绝后,生产者集群管理员可以再次将数据共享授权给使用者集群,而使用者集群管理员可以选择将其 Amazon 账户与数据共享关联,也可以拒绝该数据共享。
如果您的 Amazon 账户与数据共享关联,并且有一个由 Lake Formation 管理的数据共享关联等待处理,则拒绝由 Lake Formation 管理的数据共享关联也会拒绝原始数据共享。要拒绝特定关联,生产者集群管理员可以从指定数据共享移除授权。此操作不会影响其他数据共享。
要拒绝数据共享,请使用 Amazon 控制台、API 操作 RejectDataShare
或 Amazon CLI 中的 reject-datashare
。
要使用 Amazon 控制台拒绝数据共享,请执行以下操作:
登录 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Redshift 控制台:https://console.aws.amazon.com/redshiftv2/
。 -
在导航菜单上,选择数据共享。
-
选择来自其他账户。
-
在来自其他账户的数据共享部分中,选择要拒绝的数据共享。当显示拒绝数据共享页面时,请选择拒绝。
拒绝数据共享之后,您无法恢复更改。Amazon Redshift 将从列表中移除数据共享。要再次查看数据共享,生产者管理员必须再次对其进行授权。