跨账户访问: 如何使用 - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨账户访问: 如何使用

要启用跨帐户访问,您可以授予 Lake Formation 权限,授予选项位于 Data Catalog 表和数据库(Data Catalog 资源)到外部 AWS 帐户、组织或组织单位。授予操作会自动共享这些资源。

不与外部的特定负责人共享资源 AWS 账户—您只与帐户共享资源。授予 Lake Formation 组织或组织单位的权限相当于授予每个 AWS 帐户。

当您授予 Lake Formation 权限 Data Catalog 资源到外部帐户, Lake Formation 使用 AWS Resource Access Manager (人AWS RAM)服务共享资源。如果受赠人帐户与授予人帐户位于同一组织,则共享资源将立即提供给受赠人。如果受赠人账户不在同一个组织中, AWS RAM 向受赠方帐户发送邀请,以接受或拒绝资源授予。然后,为了使共享资源可用,受赠方帐户中的数据湖管理员必须使用 AWS RAM 控制台或CLI接受邀请。

只需 Lake Formation 授予操作时,您可以授予以下帐户权限 Data Catalog 资源:

  • 数据库

  • 一张独立餐桌 (可选列过滤)

  • 选定的几个表格

  • 数据库中的所有表 (依据 使用 * All Tables 通配符)

在访问共享资源的每个帐户中:

  • 必须至少将一个用户指定为数据湖管理员。有关如何创建数据湖管理员的信息,请参阅 创建DataLake管理员.

  • 数据湖管理员可查看共享资源并授予 Lake Formation 共享资源的权限。在数据湖管理员授予对资源的权限之前,其他负责人无法访问共享资源。由于数据湖管理员必须向受赠帐户中的委托人授予共享资源的权限,因此必须始终使用授予选项授予跨帐户权限。

  • 对于数据湖管理员和数据湖管理员授予权限的负责人,共享资源显示在 Data Catalog 好像是本地(自有)资源一样。提取、转换和加载(ETL)作业可以访问共享资源的基础数据。

  • 对于共享资源, 表格数据库 页面上的 Lake Formation 控制台显示所有者的帐户ID。

  • 校长可以创建 资源链接 他们的 Data Catalog 到共享资源 AWS 帐户。综合服务,如 Amazon Athena 和 Amazon Redshift Spectrum 需要资源链接才能在查询中包括共享资源。有关资源链接的更多信息,请参阅 如何使用资源链接 Lake Formation.

  • 当访问共享资源的基础数据时, AWS CloudTrail 日志事件在共享资源接收方的账户和资源所有者的账户中生成。的 CloudTrail 事件可以包含访问数据的承运人的ARN,但前提是接收方帐户选择在日志中包含承运人的ARN。有关更多信息,请参阅跨账户 CloudTrail 记录