Prácticas recomendadas y consideraciones para uso compartido de datos entre cuentas - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas y consideraciones para uso compartido de datos entre cuentas

Las capacidades multicuenta de Lake Formation permiten a los usuarios compartir de forma segura lagos de datos distribuidos entre varias AWS organizaciones o directamente con los directores de IAM en otra cuenta Cuentas de AWS, lo que proporciona un acceso detallado a los metadatos del catálogo de datos y a los datos subyacentes.

Tenga en cuenta las siguientes prácticas recomendadas en el uso compartido de datos entre cuentas de Lake Formation:

  • No hay límite en cuanto a la cantidad de permisos de Lake Formation que puede conceder a los directores por su propia AWS cuenta. Sin embargo, Lake Formation usa la capacidad AWS Resource Access Manager (AWS RAM) para las concesiones entre cuentas que su cuenta puede realizar con el método de recurso indicado. Para maximizar la AWS RAM capacidad, sigue estas prácticas recomendadas para el método de recurso indicado:

    • Usa el nuevo modo de concesión multicuenta (versión 3 y superior en la configuración de la versión multicuenta) para compartir un recurso con una persona externa Cuenta de AWS. Para obtener más información, consulte Actualización de los ajustes de la versión entre cuentas para compartir datos.

    • Organice las AWS cuentas en organizaciones y conceda permisos a las organizaciones o unidades organizativas. Una concesión a una organización o unidad organizativa cuenta como una concesión.

      La concesión a organizaciones o unidades organizativas también elimina la necesidad de aceptar una AWS Resource Access Manager (AWS RAM) invitación a compartir recursos para obtener la subvención. Para obtener más información, consulte Acceso y visualización de tablas y bases de datos compartidas del Catálogo de datos.

    • En lugar de conceder permisos en muchas tablas individuales de una base de datos, utilice el comodín especial Todas las tablas para conceder permisos en todas las tablas de la base de datos. La concesión en Todas las tablas se considera una única concesión. Para obtener más información, consulte Concesión y revocación de permisos sobre los recursos del Catálogo de datos.

    nota

    Para obtener más información sobre cómo solicitar un límite superior para el número de recursos compartidos AWS RAM, consulte las cuotas de AWS servicio en el Referencia general de AWS.

  • Debe crear un enlace de recursos a una base de datos compartida para que dicha base de datos aparezca en los editores de consultas Amazon Athena y en Amazon Redshift Spectrum. Del mismo modo, para poder consultar tablas compartidas con Athena y Redshift Spectrum, debe crear enlaces de recursos a las tablas. Los enlaces de recursos aparecen entonces en la lista de tablas de los editores de consultas.

    En lugar de crear enlaces de recursos para hace consultas en muchas tablas por separado, puede utilizar el comodín Todas las tablas para conceder permisos en todas las tablas de una base de datos. A continuación, cuando cree un enlace de recursos para esa base de datos y lo seleccione en el editor de consultas, tendrá acceso a todas las tablas de esa base de datos para su consulta. Para obtener más información, consulte Creación de enlaces de recursos.

  • Cuando comparte recursos directamente con entidades principales de otra cuenta, es posible que la entidad principal de IAM de la cuenta de destinatario no tenga permiso para crear enlaces de recursos para poder consultar las tablas compartidas mediante Athena y Amazon Redshift Spectrum. En lugar de crear un enlace de recursos para cada tabla compartida, el administrador del lago de datos puede crear una base de datos de marcadores de posición y conceder permisos de CREATE_TABLE al grupo ALLIAMPrincipal. A continuación, todas las entidades principales de IAM de la cuenta de destinatario pueden crear enlaces de recursos en la base de datos del marcador de posición y empezar a consultar las tablas compartidas.

    Consulte el comando CLI de ejemplo para conceder permisos a ALLIAMPrincipals en Concesión de permisos de base de datos mediante el método de recurso con nombre.

  • Athena y Redshift Spectrum admiten el control de acceso a nivel de columna, pero solo para la inclusión, no para la exclusión. Los trabajos de ETL de AWS Glue no admiten el control de acceso a nivel de columna.

  • Cuando se comparte un recurso con su AWS cuenta, solo puede conceder permisos sobre el recurso a los usuarios de su cuenta. No puedes conceder permisos sobre el recurso a otras AWS cuentas, a organizaciones (ni siquiera a la tuya) ni al IAMAllowedPrincipals grupo.

  • No puede conceder DROP ni Super sobre una base de datos a una cuenta externa.

  • Revoque los permisos entre cuentas antes de eliminar una base de datos o una tabla. De lo contrario, debe eliminar los recursos compartidos huérfanos en AWS Resource Access Manager.

Véase también