跨账户访问:工作方式 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨账户访问:工作方式

要启用跨账户访问,您可以使用数据目录表和数据库(数据目录资源)上的授予选项授予 Lake Formation 权限授予外部Amazon帐户、组织或组织单位。授予操作会自动共享这些资源。

你不会与外部的特定委托人共享资源Amazon账户-您只能与账户共享资源。向组织或组织单位授予 Lake Formation 权限等同于向每个组织或组织单位授予权限Amazon该组织或组织单位中的帐户。

注意

基于 Lake Formation 标签的访问控制 (LF-TBAC) 不支持向组织和组织单位授予跨账户权限。

当您使用命名资源方法向外部帐户授予对数据目录资源的 Lake Formation 权限时,Lake Formation 使用Amazon Resource Access Manager(Amazon RAM) 共享资源的服务。如果被授权人账户与设保人账户位于同一组织中,则该共享资源可立即向被授权人使用。如果被授权者账户不在同一组织中,Amazon RAM向被授权者账户发送邀请,以接受或拒绝资源授予。然后,要使共享资源可用,被授权者帐户中的数据湖管理员必须使用Amazon RAM控制台或Amazon CLI以接受邀请。

注意

授予数据目录权限的基于 Lake Formation 标签的访问控制 (LF-TBAC) 方法不使用Amazon RAM用于跨账户资助。因此,立即可使用跨账户赠款。有关更多信息,请参阅基于 Lake Formation

通过单个 Lake Formation 授权操作,您可以授予以下数据目录资源的跨账户权限:

  • 一个数据库

  • 单个表格(具有可选的列筛选)

  • 几张选定的表

  • 数据库中的所有表(使用All Tables通配符)

在每个访问共享资源的账户中:

  • 至少必须有一个用户是数据湖管理员。有关如何创建数据湖管理员的信息,请参阅创建数据湖管理员.

  • 数据湖管理员可以查看共享资源,并将共享资源的 Lake Formation 权限授予账户中的其他委托人。在数据湖管理员向他们授予对资源的权限之前,其他委托人才能访问共享资源。由于数据湖管理员必须向被授权者账户中的委托人授予对共享资源的权限,因此必须始终使用授予选项授予跨账户权限。

  • 对于数据湖管理员和数据湖管理员已授予权限的委托人,共享资源在数据目录中显示,就像它们是本地(拥有)资源一样。提取、转换和加载 (ETL) 作业可以访问共享资源的底层数据。

  • 对于共享资源,数据库Lake Formation 控制台上的页面显示所有者的账户 ID。

  • 委托人可以创建资源链接在他们的数据目录中转移到另一个共享资源Amazonaccount. 集成服务,例如Amazon Athena而且 Amazon Redshift Spectrum 需要资源链接才能在查询中包含共享资源。有关资源链接的更多信息,请参阅。资源链接在 Lake Formation 中的工作原理.

  • 当访问共享资源的底层数据时,Amazon CloudTrail日志事件将在共享资源接收方的账户和资源所有者的帐户中生成。CloudTrail 事件可以包含访问数据的委托人的 ARN,但前提是收件人账户选择在日志中包含委托人 ARN。有关更多信息,请参阅跨账户 CloudTrail 日志记录