Bewährte Methoden und Überlegungen für den kontenübergreifenden Datenaustausch

Die kontoübergreifenden Funktionen von Lake Formation ermöglichen es Benutzern AWS-Konten, verteilte Data Lakes sicher über mehrere AWS Organisationen hinweg oder direkt mit IAM-Prinzipalen in einem anderen Konto gemeinsam zu nutzen, wodurch ein detaillierter Zugriff auf die Data Catalog-Metadaten und die zugrunde liegenden Daten ermöglicht wird.

Beachten Sie die folgenden bewährten Methoden, wenn Sie den kontoübergreifenden Datenaustausch mit Lake Formation verwenden:

Die Anzahl der Genehmigungen für Lake Formation, die Sie Schulleitern in Ihrem eigenen AWS Konto gewähren können, ist unbegrenzt. Lake Formation verwendet jedoch die Kapazität AWS Resource Access Manager (AWS RAM) für kontoübergreifende Zuschüsse, die Ihr Konto mit der benannten Ressourcenmethode gewähren kann. Um die AWS RAM Kapazität zu maximieren, folgen Sie diesen bewährten Methoden für die Methode der benannten Ressourcen:
- Verwenden Sie den neuen kontenübergreifenden Grant-Modus (Version 3 und höher unter Einstellungen für kontoübergreifende Version), um eine Ressource für externe AWS-Konto Benutzer freizugeben. Weitere Informationen finden Sie unter Aktualisierung der Versionseinstellungen für die kontenübergreifende gemeinsame Nutzung von Daten.
- Ordnen Sie AWS Konten in Organisationen an und gewähren Sie Organisationen oder Organisationseinheiten Berechtigungen. Ein Zuschuss für eine Organisation oder Organisationseinheit gilt als ein Zuschuss.
  
  Durch die Gewährung an Organisationen oder Organisationseinheiten entfällt auch die Notwendigkeit, eine AWS Resource Access Manager (AWS RAM) Einladung zur gemeinsamen Nutzung des Zuschusses anzunehmen. Weitere Informationen finden Sie unter Zugreifen auf und Anzeigen von gemeinsam genutzten Datenkatalogtabellen und Datenbanken.
- Anstatt Berechtigungen für viele einzelne Tabellen in einer Datenbank zu gewähren, verwenden Sie den speziellen Platzhalter Alle Tabellen, um Berechtigungen für alle Tabellen in der Datenbank zu gewähren. Die Erteilung für alle Tabellen gilt als eine einzige Erteilung. Weitere Informationen finden Sie unter Erteilen von Berechtigungen für Datenkatalogressourcen.
Anmerkung
Weitere Informationen zur Beantragung einer höheren Obergrenze für die Anzahl der Ressourcenfreigaben finden Sie unter AWS Servicekontingenten im Allgemeine AWS-Referenz. AWS RAM
Sie müssen einen Ressourcenlink zu einer gemeinsam genutzten Datenbank erstellen, damit diese Datenbank in den Abfrage-Editoren Amazon Athena und Amazon Redshift Spectrum angezeigt wird. Ebenso müssen Sie Ressourcenlinks zu den Tabellen erstellen, um gemeinsam genutzte Tabellen mit Athena und Redshift Spectrum abfragen zu können. Die Ressourcenlinks werden dann in der Tabellenliste der Abfrage-Editoren angezeigt.

Anstatt Ressourcenlinks für viele einzelne Tabellen für Abfragen zu erstellen, können Sie den Platzhalter Alle Tabellen verwenden, um Berechtigungen für alle Tabellen in einer Datenbank zu gewähren. Wenn Sie dann einen Ressourcenlink für diese Datenbank erstellen und diesen Datenbankressourcen-Link im Abfrage-Editor auswählen, haben Sie Zugriff auf alle Tabellen in dieser Datenbank für Ihre Abfrage. Weitere Informationen finden Sie unter Ressourcenlinks erstellen.
Wenn Sie Ressourcen direkt mit Principals in einem anderen Konto teilen, ist der IAM-Prinzipal im Empfängerkonto möglicherweise nicht berechtigt, Ressourcenlinks zu erstellen, um die gemeinsam genutzten Tabellen mit Athena und Amazon Redshift Spectrum abfragen zu können. Anstatt für jede gemeinsam genutzte Tabelle einen Ressourcenlink zu erstellen, kann der Data Lake-Administrator eine Platzhalterdatenbank erstellen und der Gruppe Berechtigungen erteilenCREATE_TABLE. ALLIAMPrincipal Anschließend können alle IAM-Prinzipale im Empfängerkonto Ressourcenlinks in der Platzhalterdatenbank erstellen und mit der Abfrage der gemeinsam genutzten Tabellen beginnen.

Sehen Sie sich den CLI-Beispielbefehl zum Erteilen von Berechtigungen für ALLIAMPrincipals in anErteilen von Datenbankberechtigungen mithilfe der benannten Ressourcenmethode.
Athena und Redshift Spectrum unterstützen die Zugriffskontrolle auf Spaltenebene, jedoch nur zur Inklusion, nicht zum Ausschluss. Die Zugriffskontrolle auf Spaltenebene wird in nicht unterstützt AWS Glue ETL-Jobs.
Wenn eine Ressource mit Ihrem AWS Konto geteilt wird, können Sie nur Benutzern in Ihrem Konto Berechtigungen für die Ressource gewähren. Sie können anderen AWS Konten, Organisationen (nicht einmal Ihrer eigenen Organisation) oder der IAMAllowedPrincipals Gruppe keine Berechtigungen für die Ressource gewähren.
Sie können einem externen Konto keine Rechte DROP oder Super für eine Datenbank gewähren.
Widerrufen Sie kontoübergreifende Berechtigungen, bevor Sie eine Datenbank oder Tabelle löschen. Andernfalls müssen Sie verwaiste Ressourcenanteile in löschen. AWS Resource Access Manager

Weitere Informationen finden Sie auch unter

Bewährte Methoden und Überlegungen zur Tag-basierten Zugriffskontrolle von Lake Formation
CREATE_TABLEin der Liste finden Sie weitere Regeln und Einschränkungen Referenz zu den Genehmigungen von Lake Formation für den kontoübergreifenden Zugriff.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Bewährte Methoden, Überlegungen und Einschränkungen von Lake Formation

Beschränkungen für den regionsübergreifenden Datenzugriff

Bewährte Methoden und Überlegungen für den kontenübergreifenden Datenaustausch

Anmerkung

Weitere Informationen finden Sie auch unter