Compartir datos entre cuentas en Lake Formation - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Compartir datos entre cuentas en Lake Formation

Las capacidades multicuenta de Lake Formation permiten a los usuarios compartir de forma segura lagos de datos distribuidos entre varias AWS organizaciones o directamente con los directores de IAM en otra cuenta Cuentas de AWS, lo que proporciona un acceso detallado a los metadatos del catálogo de datos y a los datos subyacentes. Las grandes empresas suelen utilizar varias cuentas Cuentas de AWS, y es posible que muchas de esas cuentas necesiten acceder a un lago de datos gestionado por una sola persona. Cuenta de AWS Los usuarios y los trabajos de AWS Glue extracción, transformación y carga (ETL) pueden consultar y unir tablas en varias cuentas y, aun así, aprovechar las protecciones de datos a nivel de tabla y columna de Lake Formation.

Al conceder permisos de Lake Formation sobre un recurso del catálogo de datos a una cuenta externa o directamente a un director de IAM en otra cuenta, Lake Formation utiliza el servicio AWS Resource Access Manager (AWS RAM) para compartir el recurso. Si la cuenta del beneficiario está en la misma organización que la cuenta del concedente, el recurso compartido estará disponible inmediatamente para el beneficiario. Si la cuenta del concesionario no pertenece a la misma organización, AWS RAM envía una invitación a la cuenta del concesionario para que acepte o rechace la concesión de recursos. Luego, para que el recurso compartido esté disponible, el administrador del lago de datos de la cuenta del concesionario debe usar la AWS RAM consola o aceptar la invitación. AWS CLI

Lake Formation permite compartir los recursos del Catálogo de datos con cuentas externas en modo de acceso híbrido. El modo de acceso híbrido proporciona la flexibilidad de habilitar selectivamente los permisos de Lake Formation para las bases de datos y tablas de su AWS Glue Data Catalog.
 Con el modo de acceso híbrido, ahora tiene una ruta incremental que le permite establecer los permisos de Lake Formation para un conjunto específico de usuarios sin interrumpir las políticas de permisos de otros usuarios o cargas de trabajo existentes.

Para obtener más información, consulte Modo de acceso híbrido.

Cómo compartir directamente entre cuentas

Las entidades principales autorizadas pueden compartir recursos de forma explícita con una entidad principal de IAM en una cuenta externa. Esta característica es útil cuando el propietario de una cuenta quiere controlar quién puede acceder a los recursos en la cuenta externa. Los permisos que reciba la entidad principal de IAM serán una combinación de concesiones directas y concesiones de cuenta que se transferirán en cascada a las entidades principales. El administrador del lago de datos de la cuenta receptora puede ver las concesiones directas entre cuentas, pero no revocar los permisos. La entidad principal que recibe el recurso compartido no puede compartir el recurso con otras entidades principales.

Métodos para compartir los recursos del Catálogo de datos

Con una sola operación de concesión de Lake Formation, puede conceder permisos entre cuentas en los siguientes recursos del Catálogo de datos.

  • Una base de datos

  • Una tabla individual (con filtrado de columnas opcional)

  • Algunas tablas seleccionadas

  • Todas las tablas de una base de datos (mediante el comodín Todas las tablas)

Existen dos opciones para compartir sus bases de datos y tablas con otra persona Cuenta de AWS o con los directores de IAM de otra cuenta.

  • Control de acceso basado en etiquetas de Lake Formation (LF-TBAC) (recomendado)

    El control de acceso basado en atributos de Lake Formation es una estrategia de autorización que define permisos basados en atributos. Puede utilizar el control de acceso basado en etiquetas para compartir los recursos del catálogo de datos (bases de datos, tablas y columnas) con entidades principales, Cuentas de AWS organizaciones y unidades organizativas (OU) de IAM externas. En Lake Formation, estos atributos se denominan etiquetas LF. Para más información, consulte Gestión de un lago de datos mediante el control de acceso basado en etiquetas de Lake Formation.

    nota

    El método LF-TBAC para conceder permisos al catálogo de datos se utiliza para conceder permisos entre cuentas. AWS Resource Access Manager

    Lake Formation ahora admite la concesión de permisos entre cuentas a organizaciones y unidades organizativas utilizando el método LF-TBAC.

    Para activar esta prestación, debe actualizar la Configuración de la versión entre cuentas a la Versión 3.

    Para obtener más información, consulte Actualización de los ajustes de la versión entre cuentas para compartir datos.

  • Recursos con nombre de Lake Formation

    El intercambio de datos entre cuentas de Lake Formation mediante el método de recursos con nombre asignado le permite conceder permisos de Lake Formation con una opción de concesión en las tablas y bases de datos del catálogo de datos a directores Cuentas de AWS, organizaciones o unidades organizativas externas de IAM. La operación de concesión comparte automáticamente esos recursos.

nota

También puedes permitir que el AWS Glue rastreador acceda a un almacén de datos en una cuenta diferente con las credenciales de Lake Formation. Para obtener más información, consulte el rastreo entre cuentas en AWS Glue la Guía para desarrolladores.

Los servicios integrados, como Athena y Amazon Redshift Spectrum, requieren enlaces a recursos para poder incluir recursos compartidos en las consultas. Para obtener más información sobre los enlaces de recursos, consulte Cómo funcionan los enlaces de recursos en Lake Formation.

Para ver las consideraciones y limitaciones, consulte Prácticas recomendadas y consideraciones para uso compartido de datos entre cuentas.

Temas
Temas relacionados de