Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Accès aux tables dans toutes les régions
Lake Formation permet d'interroger les tables du catalogue de données dans toutes les AWS régions. Vous pouvez accéder aux données d'une région depuis d'autres régions à l'aide d'Amazon Athena, Amazon EMR et AWS Glue ETL en créant des liens de ressources dans d'autres régions pointant vers les bases de données et les tables sources. Grâce à l'accès aux tables entre régions, vous pouvez accéder aux données entre les régions sans copier les données sous-jacentes ou les métadonnées dans le catalogue de données.
Par exemple, vous pouvez partager une base de données ou une table d'un compte producteur avec un compte client de la région A. Après avoir accepté l'invitation de partage de ressources dans la région A, l'administrateur du lac de données du compte client peut créer des liens vers la ressource partagée dans la région B. L'administrateur du compte client peut accorder des autorisations sur la ressource partagée aux principaux IAM de ce compte dans la région A et peut accorder des autorisations de lien de ressource dans la région B. En utilisant le lien de ressource, les principaux du compte client peuvent interrogez les données partagées de la région B.
Vous pouvez également héberger la source de données Amazon S3 dans la région A dans un compte producteur et enregistrer l'emplacement des données dans un compte central dans la région B. Vous pouvez créer des ressources de catalogue de données dans le compte central, configurer les autorisations de Lake Formation et partager des données avec les consommateurs de votre compte ou avec des comptes externes dans la région B. La fonctionnalité inter-régions permet aux utilisateurs d'accéder à ces tables du catalogue de données depuis la région C à l'aide de liens vers des ressources.
Grâce à cette fonctionnalité, vous pouvez interroger des bases de données fédérées dans les métastores Apache Hive d'une région à l'autre, et également joindre des tables de la région locale à des tables d'une autre région lors de l'exécution de requêtes.
Lake Formation prend en charge les fonctionnalités suivantes avec un accès aux tables interrégional :
-
Contrôle d'accès basé sur des balises LF
-
Autorisations de contrôle d'accès détaillées
-
Opérations d'écriture sur la base de données ou la table partagée avec les autorisations appropriées
-
Partage de données entre comptes au niveau du compte et directement avec les responsables IAM
Les utilisateurs non administrateurs dotés Create_Database d'Create_Tableautorisations peuvent créer des liens de ressources interrégionaux.
Note
Vous pouvez créer des liens de ressources entre régions dans n'importe quelle région et accéder aux données sans appliquer les autorisations de Lake Formation. Pour les données source dans Amazon S3 qui ne sont pas enregistrées auprès de Lake Formation, l'accès est déterminé par les politiques d'autorisation IAM pour Amazon S3 et AWS Glue les actions.
Pour connaître les limitations, veuillez consulter Limites d'accès aux données entre régions.
Flux de travail
Les diagrammes suivants montrent les flux de travail permettant d'accéder aux données entre AWS les régions à partir du même AWS compte et d'un compte externe.
Flux de travail pour accéder aux tables partagées au sein d'un même AWS compte
Dans le schéma ci-dessous, les données sont partagées avec un utilisateur du même AWS compte dans la région USA Est (Virginie du Nord), et l'utilisateur interroge les données partagées depuis la région Europe (Irlande).
L'administrateur du lac de données effectue les activités suivantes (étapes 1 et 2) :
Un administrateur de lac de données crée un AWS compte auprès des bases de données et des tables du catalogue de données et enregistre un emplacement de données Amazon S3 auprès de Lake Formation dans la région de l'est des États-Unis (Virginie du Nord).
Accorde une
Selectautorisation sur une ressource du catalogue de données (tableau des produits dans le diagramme) à un principal (utilisateur) du même compte.-
Crée un lien de ressource dans la région Europe (Irlande) pointant vers la table source dans la région USA Est (Virginie du Nord). Accorde l'
DESCRIBEautorisation sur le lien de ressource de la région Europe (Irlande) vers le principal. -
L'utilisateur interroge le tableau depuis la région Europe (Irlande) à l'aide d'Athena.
Flux de travail pour accéder aux tables partagées avec un AWS compte externe
Dans le schéma ci-dessous, le compte producteur (compte A) héberge le compartiment Amazon S3, enregistre l'emplacement des données et partage une table du catalogue de données avec un compte consommateur (compte B) dans la région USA Est (Virginie du Nord) et un utilisateur du compte consommateur (compte B) interroge le tableau depuis la région Europe (Irlande).
-
Un administrateur de lac de données crée un AWS compte (compte producteur) avec les ressources du catalogue de données et un emplacement de données Amazon S3 enregistré auprès de Lake Formation dans la région de l'est des États-Unis (Virginie du Nord).
L'administrateur du lac de données du compte producteur partage une table du catalogue de données avec un compte client.
-
L'administrateur du lac de données du compte client accepte l'invitation à partager des données dans la région USA Est (Virginie du Nord) et accorde l'
Selectautorisation d'utiliser la table partagée à un mandant de la même région. -
L'administrateur du lac de données du compte client crée un lien de ressource dans la région Europe (Irlande) pointant vers la table partagée cible dans la région USA Est (Virginie du Nord) et accorde à l'utilisateur l'
DESCRIBEautorisation d'utiliser le lien de ressource depuis la région Europe (Irlande). -
L'utilisateur interroge les données de la région Europe (Irlande) à l'aide d'Athena.
