Acceso a los datos subyacentes de una tabla compartida - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceso a los datos subyacentes de una tabla compartida

Supongamos que la AWS cuenta A comparte una tabla del catálogo de datos con la cuenta B, por ejemplo, concediéndola SELECT con la opción de concesión de la tabla a la cuenta B. Para que un principal de la cuenta B pueda leer los datos subyacentes de la tabla compartida, se deben cumplir las siguientes condiciones:

  • El administrador del lago de datos de la cuenta B debe aceptar el uso compartido. (Esto no es necesario si las cuentas A y B pertenecen a la misma organización o si la concesión se efectuó con el método de control de acceso basado en etiquetas de Lake Formation).

  • El administrador del lago de datos debe volver a conceder a la entidad principal el permiso SELECT de Lake Formation que la cuenta A concedió en la tabla compartida.

  • La entidad principal debe tener los siguientes permisos IAM sobre la tabla, la base de datos que la contiene y la cuenta A Catálogo de datos.

    nota

    En la política de IAM siguiente:

    • <account-id-A>Sustitúyalo por el ID AWS de cuenta de la cuenta A.

    • Sustituya <region> por una región válida.

    • Sustituya <base de datos> por el nombre de la base de datos de la cuenta A que contiene la tabla compartida.

    • Sustituya <table> por el nombre de la tabla compartida.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "glue:GetTable",
            "glue:GetTables",
            "glue:GetPartition",
            "glue:GetPartitions",
            "glue:BatchGetPartition",
            "glue:GetDatabase",
            "glue:GetDatabases"
           ],
           "Resource": [
            "arn:aws:glue:<region>:<account-id-A>:table/<database>/<table>",
            "arn:aws:glue:<region>:<account-id-A>:database/<database>",
            "arn:aws:glue:<region>:<account-id-A>:catalog"
           ]
        },
        {
          "Effect": "Allow",
          "Action": [
            "lakeformation:GetDataAccess"
           ],
          "Resource": [
            "*"
           ],
          "Condition": {
            "StringEquals": {
              "lakeformation:GlueARN":"arn:aws:glue:<region>:<account-id-A>:table/<database>/<table>"
            }
        }
    }
   ]
}
Consulte también: