本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Lake Formation 中的跨账户数据共享
借助 Lake Formation,您可以使用命名资源方法或 LF 标签,通过简单设置在 Amazon 账户内和跨账户共享数据目录资源(数据库和表)。您可以将整个数据库或从数据库中选择表共享给账户中的任何 IAM 委托人(IAM 角色和用户)、账户级别的其他 Amazon 账户,或者直接共享给另一个账户中的 IAM 委托人。
您还可以利用数据筛选条件将数据目录表共享,以限制对行级别和单元格级别详细信息的访问。Lake For Amazon Resource Access Manager mation 使用 (Amazon RAM) 来简化在账户之间授予权限。在两个账户之间共享资源时, Amazon RAM 会向接收方账户发送邀请。当用户接受 Amazon RAM 共享邀请时,会向 Lake Formation Amazon RAM 提供必要的权限以使用数据目录资源并启用存储级别强制执行。有关更多信息,请参阅 Lake Formation 中的跨账户数据共享。
当接收方账户的数据湖管理员接受共享时, Amazon RAM 共享资源将在接收者账户中可用。数据湖管理员会向接收方账户中的其他 IAM 主体授予对共享资源的更多 Lake Formation 权限(前提是管理员拥有对共享资源的 GRANTABLE 权限)。
但是,如果没有资源链接,主体就无法使用 Athena 或 Redshift Spectrum 来查询共享资源。资源链接是数据目录中的一个实体,类似于 Linux-Symlink 的概念。
接收方账户的数据湖管理员会针对共享资源创建资源链接。管理员会向其他用户授予对资源链接的 Describe 权限以及对原共享资源的必需权限。然后,接收方账户中的用户可以通过该资源链接,使用 Athena 和 Redshift Spectrum 查询共享资源。有关资源链接的更多信息,请参阅创建资源链接。