跨账户最佳实践和限制 - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨账户最佳实践和限制

以下是跨帐户访问的最佳实践和限制:

  • 不限制 Lake Formation 权限授予,您可以自己 AWS 帐户。但是,您的帐户可以进行的最大跨帐户授权数为1000。为避免达到此限制,请遵循以下最佳实践:

    • 安排 AWS 帐户,并向组织或组织单位授予权限。对组织或组织单位的授予计为一项授予。

      向组织或组织单位提供礼品也无需接受 AWS Resource Access Manager (人AWS RAM)资源共享邀请授予。有关更多信息,请参阅访问和查看共享 Data Catalog 表格和数据库

    • 不是在数据库中对多个单独表授予权限,而是使用 * 所有表格 通配符,以授予数据库中所有表格的权限。授予 * 所有表格 计为单一授予。有关更多信息,请参阅授予表格权限(外部帐户)

  • 您必须创建一个指向共享数据库的资源链接,该数据库才能出现在 Amazon Athena 和 Amazon Redshift Spectrum 查询编辑器。同样,为了能够使用 Athena 和 Redshift Spectrum,您必须创建表的资源链接。然后,资源链接将显示在查询编辑器的表列表中。

    不是为许多单独表创建资源链接以供查询,而是可以使用 * 所有表格 通配符授予数据库中所有表格的权限。然后,当您为该数据库创建资源链接并在查询编辑器中选择该数据库资源链接时,您可以访问该数据库中用于查询的所有表格。有关更多信息,请参阅创建资源链接

  • 如果您有一个 AWS Glue 数据目录 资源政策,我们建议您将其删除并仅依赖 Lake Formation 保护您的数据湖的权限。有关更多信息,请参阅使用两者管理跨客户权限 AWS Glue 和 Lake Formation

  • Athena 和 Redshift Spectrum 支持列级访问控制,但仅用于包含,不用于排除。跨帐户,不支持列级访问控制 AWS Glue ETL作业。

  • 资源与您的 AWS 帐户,您只能将资源的权限授予帐户中的用户。无法将资源的权限授予其他 AWS 账户, 至 组织(甚至不是您自己的组织),或至 IAMAllowedPrincipals 组。

  • 您无法授予 DROPSuper 数据库上的到外部帐户。

  • 在删除数据库或表之前,请撤销跨帐户权限。否则,您必须删除 AWS Resource Access Manager.

另请参阅