Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Kontoübergreifender Datenaustausch in Lake Formation
Die kontoübergreifenden Funktionen von Lake Formation ermöglichen es Benutzern, verteilte Data Lakes sicher über mehrere AWS Organisationen oder direkt mit IAM Principals in einem anderen Konto zu teilen AWS-Konten, wodurch ein detaillierter Zugriff auf die Data Catalog-Metadaten und die zugrunde liegenden Daten ermöglicht wird. Große Unternehmen verwenden in der Regel mehrere AWS-Konten, und viele dieser Konten benötigen möglicherweise Zugriff auf einen Data Lake, der von einem einzigen verwaltet wird. AWS-Konto Benutzer und Jobs zum AWS Glue Extrahieren, Transformieren und Laden (ETL) können Tabellen über mehrere Konten hinweg abfragen und verknüpfen und dabei trotzdem die Vorteile des Datenschutzes auf Tabellen- und Spaltenebene von Lake Formation nutzen.
Wenn Sie Lake Formation-Berechtigungen für eine Datenkatalogressource einem externen Konto oder direkt einem IAM Principal in einem anderen Konto gewähren, verwendet Lake Formation den Dienst AWS Resource Access Manager (AWS RAM), um die Ressource gemeinsam zu nutzen. Befindet sich das Konto des Empfängers in derselben Organisation wie das Konto des Zuschussempfängers, steht die gemeinsam genutzte Ressource dem Empfänger sofort zur Verfügung. Wenn sich das Konto des Zuschussempfängers nicht in derselben Organisation befindet, AWS RAM sendet es eine Einladung an das Konto des Empfängers, den Ressourcenzuschuss anzunehmen oder abzulehnen. Um die gemeinsam genutzte Ressource verfügbar zu machen, muss der Data Lake-Administrator des Empfängerkontos dann die AWS RAM Konsole verwenden oder die AWS CLI Einladung annehmen.
Lake Formation unterstützt die gemeinsame Nutzung von Datenkatalogressourcen mit externen Konten im Hybridzugriffsmodus. Der Hybridzugriffsmodus bietet die Flexibilität, selektiv Lake Formation Formation-Berechtigungen für Datenbanken und Tabellen in Ihrem AWS Glue Data Catalog zu aktivieren. Mit dem Hybridzugriffsmodus verfügen Sie jetzt über einen inkrementellen Pfad, mit dem Sie Lake Formation Formation-Berechtigungen für eine bestimmte Gruppe von Benutzern festlegen können, ohne die Berechtigungsrichtlinien anderer vorhandener Benutzer oder Workloads zu unterbrechen.
Weitere Informationen finden Sie unter Hybrider Zugriffsmodus.
Direkter kontenübergreifender Austausch
Autorisierte Principals können Ressourcen explizit mit einem IAM Principal in einem externen Konto teilen. Diese Funktion ist nützlich, wenn ein Kontoinhaber die Kontrolle darüber haben möchte, wer im externen Konto auf die Ressourcen zugreifen kann. Bei den Berechtigungen, die der IAM Schulleiter erhält, handelt es sich um eine Kombination aus direkten Zuschüssen und Zuschüssen auf Kontoebene, die an die Schulleiter weitergegeben wird. Der Data Lake-Administrator des Empfängerkontos kann die direkten kontoübergreifenden Zuschüsse einsehen, jedoch keine Berechtigungen widerrufen. Der Principal, der die Resource Share erhält, kann die Ressource nicht mit anderen Principals teilen.
Methoden für die gemeinsame Nutzung von Datenkatalogressourcen
Mit einem einzigen Lake Formation Formation-Grant-Vorgang können Sie kontoübergreifende Berechtigungen für die folgenden Datenkatalogressourcen gewähren.
-
Eine Datenbank
-
Eine einzelne Tabelle (mit optionaler Spaltenfilterung)
-
Ein paar ausgewählte Tabellen
-
Alle Tabellen in einer Datenbank (mithilfe des Platzhalters „Alle Tabellen“)
Es gibt zwei Möglichkeiten, Ihre Datenbanken und Tabellen für andere Benutzer AWS-Konto oder für IAM Prinzipale in einem anderen Konto gemeinsam zu nutzen.
Tag-basierte Zugriffskontrolle von Lake Formation (LF-TBAC) (empfohlen)
Die tagbasierte Zugriffskontrolle von Lake Formation ist eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Attributen definiert. Sie können die Tag-basierte Zugriffskontrolle verwenden, um Datenkatalogressourcen (Datenbanken, Tabellen und Spalten) mit externen IAM Prinzipalen AWS-Konten, Organizations und Organisationseinheiten (OUs) gemeinsam zu nutzen. In Lake Formation werden diese Attribute als LF-Tags bezeichnet. Weitere Informationen finden Sie unter Verwaltung eines Data Lakes mithilfe der tagbasierten Zugriffskontrolle von Lake Formation.
Anmerkung
Die TBAC LF-Methode zur Erteilung von Datenkatalogberechtigungen wird AWS Resource Access Manager für kontoübergreifende Zuschüsse verwendet.
Lake Formation unterstützt jetzt die Erteilung kontenübergreifender Berechtigungen für Organizations und Organisationseinheiten mithilfe der TBAC LF-Methode.
Um diese Funktion zu aktivieren, müssen Sie die Einstellungen für die kontoübergreifende Version auf Version 3 aktualisieren.
Weitere Informationen finden Sie unter Die Versionseinstellungen für den kontenübergreifenden Datenaustausch werden aktualisiert.
-
Lake Formation benannte Ressourcen
Die Methode zur kontenübergreifenden Datenfreigabe von Lake Formation mithilfe benannter Ressourcen ermöglicht es Ihnen, Lake Formation Formation-Berechtigungen mit einer Erteilungsoption für Datenkatalogtabellen und Datenbanken für externe Benutzer AWS-Konten, IAM Prinzipale, Organisationen oder Organisationseinheiten zu gewähren. Bei der Gewährung werden diese Ressourcen automatisch gemeinsam genutzt.
Anmerkung
Sie können dem AWS Glue Crawler auch gestatten, mithilfe von Lake Formation Formation-Anmeldeinformationen auf einen Datenspeicher in einem anderen Konto zuzugreifen. Weitere Informationen finden Sie unter Kontoübergreifendes Crawling im AWS Glue Entwicklerhandbuch.
Integrierte Dienste wie Athena und Amazon Redshift Spectrum benötigen Ressourcenlinks, um gemeinsam genutzte Ressourcen in Abfragen einbeziehen zu können. Weitere Informationen zu Ressourcenlinks finden Sie unter. Funktionsweise von Ressourcenverbindungen in Lake Formation
Hinweise und Einschränkungen finden Sie unterBewährte Methoden und Überlegungen für den kontenübergreifenden Datenaustausch.
Themen
- Voraussetzungen
- Die Versionseinstellungen für den kontenübergreifenden Datenaustausch werden aktualisiert
- Gemeinsame Nutzung von Datenkatalogtabellen und Datenbanken für externe Konten AWS-Konten oder für IAM Prinzipale
- Erteilen von Berechtigungen für eine Datenbank oder Tabelle, die mit Ihrem Konto geteilt wird
- Erteilen von Ressourcenverknüpfungsberechtigungen
- Zugreifen auf die zugrunde liegenden Daten einer gemeinsam genutzten Tabelle
- Kontoübergreifende Protokollierung CloudTrail
- Verwaltung kontenübergreifender Berechtigungen mit beiden AWS Glue und Lake Formation
- Alle kontenübergreifenden Zuschüsse mithilfe des Vorgangs anzeigen GetResourceShares API