Bewährte Methoden und Überlegungen zur kontoübergreifenden Datenfreigabe

Die kontoübergreifenden Funktionen von Lake Formation ermöglichen es Benutzern, verteilte Data Lakes sicher über mehrere AWS-Konten, AWS Organisationen oder direkt mit IAM-Prinzipalen in einem anderen Konto gemeinsam zu nutzen, wodurch ein differenzierter Zugriff auf die Metadaten des Data Catalog und die zugrunde liegenden Daten ermöglicht wird.

Beachten Sie die folgenden bewährten Methoden bei der kontoübergreifenden Datenfreigabe von Lake Formation:

Die Anzahl der Lake-Formation-Berechtigungserteilungen, die Sie Prinzipalen in Ihrem eigenen AWS Konto erteilen können, ist unbegrenzt. Lake Formation verwendet jedoch AWS Resource Access Manager (AWS RAM)-Kapazität für kontoübergreifende Erteilungen, die Ihr Konto mit der benannten Ressourcenmethode vornehmen kann. Um die AWS RAM Kapazität zu maximieren, befolgen Sie diese bewährten Methoden für die Methode mit benannten Ressourcen:
- Verwenden Sie den neuen kontoübergreifenden Erteilungsmodus (Version 3 und höher unter Kontoübergreifende Versionseinstellungen ), um eine Ressource für ein externes freizugeben AWS-Konto. Weitere Informationen finden Sie unter Aktualisieren der kontoübergreifenden Versionseinstellungen für die Datenfreigabe.
- Ordnen Sie AWS Konten in Organisationen an und erteilen Sie Organisationen oder Organisationseinheiten Berechtigungen. Eine Erteilung an eine Organisation oder Organisationseinheit gilt als eine Erteilung.
  
  Durch die Erteilung an Organisationen oder Organisationseinheiten entfällt auch die Notwendigkeit, eine AWS Resource Access Manager (AWS RAM)-Einladung zur gemeinsamen Nutzung von Ressourcen für die Erteilung anzunehmen. Weitere Informationen finden Sie unter Zugreifen auf und Anzeigen gemeinsam genutzter Datenkatalogtabellen und Datenbanken.
- Anstatt Berechtigungen für viele einzelne Tabellen in einer Datenbank zu erteilen, verwenden Sie den speziellen Platzhalter Alle Tabellen, um Berechtigungen für alle Tabellen in der Datenbank zu erteilen. Die Erteilung für alle Tabellen gilt als einzelne Erteilung. Weitere Informationen finden Sie unter Erteilen und Widerrufen von Berechtigungen für Datenkatalogressourcen.
Anmerkung
Weitere Informationen zum Anfordern eines höheren Limits für die Anzahl der Ressourcenfreigaben in finden Sie AWS RAM unter -AWS Servicekontingente im Allgemeine AWS-Referenz.
Sie müssen einen Ressourcenlink zu einer freigegebenen Datenbank erstellen, damit diese Datenbank in den Abfrage-Editoren Amazon Athena und Amazon Redshift Spectrum angezeigt wird. Um freigegebene Tabellen mit Athena und Redshift Spectrum abfragen zu können, müssen Sie ebenfalls Ressourcenlinks zu den Tabellen erstellen. Die Ressourcenlinks werden dann in der Tabellenliste der Abfrage-Editoren angezeigt.

Anstatt Ressourcenlinks für viele einzelne Tabellen zur Abfrage zu erstellen, können Sie den Platzhalter Alle Tabellen verwenden, um Berechtigungen für alle Tabellen in einer Datenbank zu erteilen. Wenn Sie dann einen Ressourcenlink für diese Datenbank erstellen und diesen Datenbankressourcenlink im Abfrage-Editor auswählen, haben Sie Zugriff auf alle Tabellen in dieser Datenbank für Ihre Abfrage. Weitere Informationen finden Sie unter Ressourcenlinks erstellen.
Wenn Sie Ressourcen direkt mit Prinzipalen in einem anderen Konto teilen, hat der IAM-Prinzipal im Empfängerkonto möglicherweise keine Berechtigung, Ressourcenlinks zu erstellen, um die freigegebenen Tabellen mit Athena und Amazon Redshift Spectrum abfragen zu können. Anstatt einen Ressourcenlink für jede freigegebene Tabelle zu erstellen, kann der Data-Lake-Administrator eine Platzhalterdatenbank erstellen und der ALLIAMPrincipal Gruppe die CREATE_TABLE Berechtigung erteilen. Anschließend können alle IAM-Prinzipale im Empfängerkonto Ressourcenlinks in der Platzhalterdatenbank erstellen und mit der Abfrage der freigegebenen Tabellen beginnen.

Siehe den CLI-Beispielbefehl zum Erteilen von Berechtigungen für ALLIAMPrincipals in Erteilen von Datenbankberechtigungen mithilfe der benannten Ressourcenmethode.
Athena und Redshift Spectrum unterstützen die Zugriffskontrolle auf Spaltenebene, jedoch nur für die Aufnahme, nicht für den Ausschluss. Die Zugriffskontrolle auf Spaltenebene wird in AWS Glue -ETL-Aufträgen nicht unterstützt.
Wenn eine Ressource für Ihr AWS Konto freigegeben wird, können Sie Berechtigungen für die Ressource nur Benutzern in Ihrem Konto erteilen. Sie können anderen AWS Konten, Organisationen (nicht einmal Ihrer eigenen Organisation) oder der IAMAllowedPrincipals Gruppe keine Berechtigungen für die Ressource erteilen.
Sie können DROP einem externen Konto oder Super in einer Datenbank nicht gewähren.
Widerrufen Sie kontoübergreifende Berechtigungen, bevor Sie eine Datenbank oder Tabelle löschen. Andernfalls müssen Sie verwaiste Ressourcenfreigaben in löschen AWS Resource Access Manager.

Weitere Informationen finden Sie auch unter

Bewährte Methoden und Überlegungen zur tagbasierten Zugriffskontrolle in Lake Formation
CREATE_TABLE in der Referenz zu Lake-Formation-Berechtigungen für mehr kontoübergreifende Zugriffsregeln und Einschränkungen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Bewährte Methoden, Überlegungen und Einschränkungen für Lake Formation

Einschränkungen des regionsübergreifenden Datenzugriffs

Bewährte Methoden und Überlegungen zur kontoübergreifenden Datenfreigabe

Anmerkung

Weitere Informationen finden Sie auch unter