Bewährte Methoden und Überlegungen für den kontenübergreifenden Datenaustausch - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden und Überlegungen für den kontenübergreifenden Datenaustausch

Die kontoübergreifenden Funktionen von Lake Formation ermöglichen es Benutzern, verteilte Data Lakes sicher über mehrere AWS Organisationen oder direkt mit IAM Principals in einem anderen Konto zu teilen AWS-Konten, wodurch ein detaillierter Zugriff auf die Data Catalog-Metadaten und die zugrunde liegenden Daten ermöglicht wird.

Beachten Sie die folgenden bewährten Methoden, wenn Sie den kontoübergreifenden Datenaustausch mit Lake Formation verwenden:

  • Die Anzahl der Genehmigungen für Lake Formation, die Sie Schulleitern in Ihrem eigenen AWS Konto gewähren können, ist unbegrenzt. Lake Formation verwendet jedoch die Kapazität AWS Resource Access Manager (AWS RAM) für kontoübergreifende Zuschüsse, die Ihr Konto mit der benannten Ressourcenmethode gewähren kann. Um die AWS RAM Kapazität zu maximieren, folgen Sie diesen bewährten Methoden für die Methode der benannten Ressourcen:

    • Verwenden Sie den neuen kontenübergreifenden Grant-Modus (Version 3 und höher unter Einstellungen für kontoübergreifende Version), um eine Ressource für externe AWS-Konto Benutzer freizugeben. Weitere Informationen finden Sie unter Die Versionseinstellungen für den kontenübergreifenden Datenaustausch werden aktualisiert.

    • Ordnen Sie AWS Konten in Organisationen an und gewähren Sie Organisationen oder Organisationseinheiten Berechtigungen. Ein Zuschuss für eine Organisation oder Organisationseinheit gilt als ein Zuschuss.

      Durch die Gewährung an Organisationen oder Organisationseinheiten entfällt auch die Notwendigkeit, eine AWS Resource Access Manager (AWS RAM) Einladung zur gemeinsamen Nutzung des Zuschusses anzunehmen. Weitere Informationen finden Sie unter Zugreifen auf und Anzeigen von gemeinsam genutzten Datenkatalogtabellen und Datenbanken.

    • Anstatt Berechtigungen für viele einzelne Tabellen in einer Datenbank zu gewähren, verwenden Sie den speziellen Platzhalter Alle Tabellen, um Berechtigungen für alle Tabellen in der Datenbank zu gewähren. Die Erteilung für alle Tabellen gilt als eine einzige Erteilung. Weitere Informationen finden Sie unter Erteilen von Berechtigungen für Datenkatalogressourcen.

    Anmerkung

    Weitere Informationen zur Beantragung einer höheren Obergrenze für die Anzahl der Ressourcenfreigaben finden Sie unter AWS Servicekontingenten im Allgemeine AWS-Referenz. AWS RAM

  • Sie müssen einen Ressourcenlink zu einer gemeinsam genutzten Datenbank erstellen, damit diese Datenbank in den Abfrage-Editoren Amazon Athena und Amazon Redshift Spectrum angezeigt wird. Ebenso müssen Sie Ressourcenlinks zu den Tabellen erstellen, um gemeinsam genutzte Tabellen mit Athena und Redshift Spectrum abfragen zu können. Die Ressourcenlinks werden dann in der Tabellenliste der Abfrage-Editoren angezeigt.

    Anstatt Ressourcenlinks für viele einzelne Tabellen für Abfragen zu erstellen, können Sie den Platzhalter Alle Tabellen verwenden, um Berechtigungen für alle Tabellen in einer Datenbank zu gewähren. Wenn Sie dann einen Ressourcenlink für diese Datenbank erstellen und diesen Datenbankressourcen-Link im Abfrage-Editor auswählen, haben Sie Zugriff auf alle Tabellen in dieser Datenbank für Ihre Abfrage. Weitere Informationen finden Sie unter Ressourcenlinks erstellen.

  • Wenn Sie Ressourcen direkt mit Principals in einem anderen Konto teilen, ist der IAM Principal im Empfängerkonto möglicherweise nicht berechtigt, Ressourcenlinks zu erstellen, um die gemeinsam genutzten Tabellen mit Athena und Amazon Redshift Spectrum abfragen zu können. Anstatt für jede gemeinsam genutzte Tabelle einen Ressourcenlink zu erstellen, kann der Data Lake-Administrator eine Platzhalterdatenbank erstellen und der Gruppe CREATE_TABLE Berechtigungen erteilen. ALLIAMPrincipal Anschließend können alle IAM Prinzipale im Empfängerkonto Ressourcenlinks in der Platzhalterdatenbank erstellen und mit der Abfrage der gemeinsam genutzten Tabellen beginnen.

    Sehen Sie sich den CLI Beispielbefehl für das Erteilen von Berechtigungen für in an. ALLIAMPrincipals Erteilen von Datenbankberechtigungen mithilfe der benannten Ressourcenmethode

  • Athena und Redshift Spectrum unterstützen die Zugriffskontrolle auf Spaltenebene, jedoch nur zur Inklusion, nicht zum Ausschluss. Die Zugriffskontrolle auf Spaltenebene wird in nicht unterstützt AWS Glue ETLJobs.

  • Wenn eine Ressource mit Ihrem AWS Konto geteilt wird, können Sie nur Benutzern in Ihrem Konto Berechtigungen für die Ressource gewähren. Sie können anderen AWS Konten, Organisationen (nicht einmal Ihrer eigenen Organisation) oder der IAMAllowedPrincipals Gruppe keine Berechtigungen für die Ressource gewähren.

  • Sie können einem externen Konto keine Rechte DROP oder Super für eine Datenbank gewähren.

  • Widerrufen Sie kontoübergreifende Berechtigungen, bevor Sie eine Datenbank oder Tabelle löschen. Andernfalls müssen Sie verwaiste Ressourcenanteile in löschen. AWS Resource Access Manager

Weitere Informationen finden Sie auch unter