Regionsübergreifender Zugriff auf Tabellen - AWS Lake Formation
Workflows

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Regionsübergreifender Zugriff auf Tabellen

Lake Formation unterstützt das Abfragen von Datenkatalogtabellen in allen AWS Regionen. Sie können mit Amazon Athena, Amazon EMR und AWS Glue ETL von anderen Regionen aus auf Daten in einer Region zugreifen, indem Sie Ressourcenlinks in anderen Regionen erstellen, die auf die Quelldatenbanken und -tabellen verweisen. Mit regionsübergreifendem Tabellenzugriff können Sie regionsübergreifend auf Daten zugreifen, ohne die zugrunde liegenden Daten oder Metadaten in den Datenkatalog kopieren zu müssen.

Sie können beispielsweise eine Datenbank oder Tabelle in einem Produzentenkonto für ein Verbraucherkonto in Region A gemeinsam nutzen. Nachdem Sie die Einladung zur gemeinsamen Nutzung von Ressourcen in Region A angenommen haben, kann der Data Lake-Administrator des Verbraucherkontos Ressourcenlinks zu der gemeinsam genutzten Ressource in Region B erstellen. Der Administrator des Verbraucherkontos kann den IAM-Prinzipalen in diesem Konto in Region A Berechtigungen für die gemeinsam genutzte Ressource gewähren und kann Ressourcenverknüpfungsberechtigungen in Region B gewähren. Mithilfe des Ressourcenlinks können die Prinzipale im Verbraucherkonto fragen Sie die gemeinsam genutzten Daten aus Region B ab.

Sie können die Amazon S3 S3-Datenquelle in Region A auch in einem Produzentenkonto hosten und den Datenstandort in einem zentralen Konto in Region B registrieren. Sie können Datenkatalogressourcen im zentralen Konto erstellen, Lake Formation Formation-Berechtigungen einrichten und Daten mit Verbrauchern in Ihrem Konto oder mit externen Konten in Region B teilen. Die regionsübergreifende Funktion ermöglicht Benutzern den Zugriff auf diese Datenkatalogtabellen von Region C aus über Ressourcenlinks.

Mit dieser Funktion können Sie Verbunddatenbanken in Apache Hive-Metastores regionsübergreifend abfragen und beim Ausführen von Abfragen auch Tabellen in der lokalen Region mit Tabellen in einer anderen Region verbinden.

Lake Formation unterstützt die folgenden Funktionen mit regionsübergreifendem Tabellenzugriff:

  • Zugriffskontrolle auf Basis von LF-Tags

  • Fein abgestufte Zugriffsberechtigungen

  • Schreibvorgänge in der gemeinsam genutzten Datenbank oder Tabelle mit den entsprechenden Berechtigungen

  • Kontoübergreifender Datenaustausch auf Kontoebene und direkt mit IAM-Prinzipalen

Benutzer ohne Administratorrechte mit Create_Database und -Berechtigungen können regionsübergreifende Ressourcenlinks erstellen. Create_Table

Anmerkung

Sie können regionsübergreifende Ressourcenlinks in jeder Region erstellen und auf Daten zugreifen, ohne Lake Formation Formation-Berechtigungen anzuwenden. Für Quelldaten in Amazon S3, die nicht bei Lake Formation registriert sind, wird der Zugriff durch IAM-Berechtigungsrichtlinien für Amazon S3 und AWS Glue Aktionen bestimmt.

Einschränkungen finden Sie unter Beschränkungen für den regionsübergreifenden Datenzugriff.

Workflows

Die folgenden Diagramme zeigen die Workflows für den Zugriff auf Daten in verschiedenen AWS Regionen von demselben AWS Konto und von einem externen Konto aus.

Workflow für den Zugriff auf Tabellen, die innerhalb desselben AWS Kontos gemeinsam genutzt werden

In der Abbildung unten werden die Daten mit einem Benutzer desselben AWS Kontos in der Region USA Ost (Nord-Virginia) geteilt, und der Benutzer fragt die gemeinsam genutzten Daten aus der Region Europa (Irland) ab.

Der Data Lake-Administrator führt die folgenden Aktivitäten aus (Schritte 1—2):

  1. Ein Data Lake-Administrator richtet ein AWS Konto bei den Data Catalog-Datenbanken und -Tabellen ein und registriert einen Amazon S3 S3-Datenstandort bei Lake Formation in der Region USA Ost (Nord-Virginia).

    Erteilt einem Principal (Benutzer) desselben Kontos die Select Berechtigung für eine Datenkatalogressource (Produkttabelle im Diagramm).

  2. Erstellt einen Ressourcenlink in der Region Europa (Irland), der auf die Quelltabelle in der Region USA Ost (Nord-Virginia) verweist. Erteilt dem Prinzipal die DESCRIBE Berechtigung für den Ressourcenlink von der Region Europa (Irland).

  3. Der Benutzer fragt die Tabelle mit Athena aus der Region Europa (Irland) ab.

Workflow für den Zugriff auf Tabellen, die mit einem externen AWS Konto gemeinsam genutzt werden

In der Abbildung unten hostet das Produzentenkonto (Konto A) den Amazon S3 S3-Bucket, registriert den Datenstandort und teilt eine Datenkatalogtabelle mit einem Verbraucherkonto (Konto B) in der Region USA Ost (Nord-Virginia), und ein Benutzer des Verbraucherkontos (Konto B) fragt die Tabelle aus der Region Europa (Irland) ab.

  1. Ein Data Lake-Administrator richtet ein AWS Konto (Producer-Konto) mit den Data Catalog-Ressourcen und einem Amazon S3 S3-Datenstandort ein, der bei Lake Formation in der Region USA Ost (Nord-Virginia) registriert ist.

  2. Der Data Lake-Administrator des Produzentenkontos teilt eine Datenkatalogtabelle mit einem Kundenkonto.

  3. Der Data Lake-Administrator des Verbraucherkontos nimmt die Einladung zur gemeinsamen Nutzung von Daten in der Region USA Ost (Nord-Virginia) an und erteilt einem Principal aus derselben Region die Select Erlaubnis für die gemeinsam genutzte Tabelle.

  4. Der Data Lake-Administrator des Verbraucherkontos erstellt einen Ressourcenlink in der Region Europa (Irland), der auf die gemeinsam genutzte Zieltabelle in der Region USA Ost (Nord-Virginia) verweist, und erteilt dem Benutzer die DESCRIBE Berechtigung für den Ressourcenlink aus der Region Europa (Irland).

  5. Der Benutzer fragt die Daten aus der Region Europa (Irland) mit Athena ab.