跨账户最佳实践和限制 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨账户最佳实践和限制

以下是跨账户访问的最佳实践和限制:

  • 你可以自己向校长发放的 Lake Formation 许可的数量没有限制Amazonaccount. 但是,您的账户可以使用指定资源方法进行的跨账户赠款的最大数量为 1,600 个。为避免达到此限制,请遵循以下针对命名资源方法的最佳做法:

    • ArrangeAmazon帐户进入组织,并向组织或组织单位授予权限。对组织或组织单位的补助金算作一笔赠款。

      授予组织或组织单位也消除了接受Amazon Resource Access Manager(Amazon RAM) 赠款的资源共享邀请。有关更多信息,请参阅访问和查看共享数据目录表和数据库

    • 不要授予对数据库中许多单个表的权限,而是使用特殊的所有表格用于授予对数据库中所有表的权限的通配符。授予所有表格算作单笔赠款。有关更多信息,请参阅在 Lake Formation 中授予和撤销数据目录权限

    注意

    1,600 笔赠款的限额是软限额。要超过此限制,需要对中的资源份额数量提高限制。Amazon Resource Access Manager(Amazon RAM)。有关更多信息,请参阅 。Amazon服务配额中的Amazon一般参考.

  • 您必须创建指向共享数据库的资源链接,才能使该数据库显示在Amazon Athena和 Amazon Redshift Spectrum 查询编辑器。同样,为了能够使用 Athena 和 Redshift Spectrum 查询共享表,您必须创建指向这些表的资源链接。然后,资源链接将显示在查询编辑器的表列表中。

    您可以使用,而不是为许多单独的表创建资源链接以进行查询,而是使用所有表格用于授予对数据库中所有表的权限的通配符。然后,当您为该数据库创建资源链接并在查询编辑器中选择该数据库资源链接时,您将有权访问该数据库中的所有表以进行查询。有关更多信息,请参阅创建资源链接

  • Athena 和 Redshift Spectrum 支持列级访问控制,但仅用于包含,而不是排除。在中不支持列级访问控制Amazon GlueETL 作业。

  • 当资源与您的Amazon账户中,您可以仅向账户中的用户授予对资源的权限。你不能向其他人授予对资源的权限Amazon账户、组织(甚至不是你自己的组织)或IAMAllowedPrincipals组中)。

  • 您不能授予DROP或者Super在数据库上转移到外部账户。

  • 在删除数据库或表之前撤消跨账户权限。否则,您必须在中删除孤立的资源共享。Amazon Resource Access Manager.

另请参阅