Zugreifen auf die zugrunde liegenden Daten einer gemeinsam genutzten Tabelle - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugreifen auf die zugrunde liegenden Daten einer gemeinsam genutzten Tabelle

Gehen Sie davon aus, dass AWS Konto A gemeinsam mit Konto B eine Datenkatalogtabelle verwendet, z. B. indem Konto B SELECT mit der Grant-Option für die Tabelle eine Genehmigung erteilt wird, damit ein Hauptbenutzer in Konto B die der gemeinsam genutzten Tabelle zugrunde liegenden Daten lesen kann, müssen die folgenden Bedingungen erfüllt sein:

  • Der Data Lake-Administrator in Konto B muss die gemeinsame Nutzung akzeptieren. (Dies ist nicht erforderlich, wenn sich die Konten A und B in derselben Organisation befinden oder wenn die Gewährung mit der Tag-basierten Zugriffskontrollmethode von Lake Formation erfolgt ist.)

  • Der Data Lake-Administrator muss dem Principal erneut die Lake Formation SELECT Formation-Berechtigung erteilen, die Konto A für die gemeinsam genutzte Tabelle erteilt hat.

  • Der Principal muss über die folgenden IAM-Berechtigungen für die Tabelle, die Datenbank, die sie enthält, und das Konto A Data Catalog verfügen.

    Anmerkung

    In der folgenden IAM-Richtlinie:

    • <account-id-A>Ersetzen Sie es durch die AWS Konto-ID von Konto A.

    • <region>Durch eine gültige Region ersetzen.

    • <database>Ersetzen Sie es durch den Namen der Datenbank in Konto A, die die gemeinsam genutzte Tabelle enthält.

    • <table>Ersetzen Sie durch den Namen der gemeinsam genutzten Tabelle.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "glue:GetTable",
            "glue:GetTables",
            "glue:GetPartition",
            "glue:GetPartitions",
            "glue:BatchGetPartition",
            "glue:GetDatabase",
            "glue:GetDatabases"
           ],
           "Resource": [
            "arn:aws:glue:<region>:<account-id-A>:table/<database>/<table>",
            "arn:aws:glue:<region>:<account-id-A>:database/<database>",
            "arn:aws:glue:<region>:<account-id-A>:catalog"
           ]
        },
        {
          "Effect": "Allow",
          "Action": [
            "lakeformation:GetDataAccess"
           ],
          "Resource": [
            "*"
           ],
          "Condition": {
            "StringEquals": {
              "lakeformation:GlueARN":"arn:aws:glue:<region>:<account-id-A>:table/<database>/<table>"
            }
        }
    }
   ]
}
Weitere Informationen finden Sie unter: