Utilisation d’unités de partage des données gérées par Lake Formation en tant que producteur - Amazon Redshift

Amazon Redshift ne prendra plus en charge la création de nouveaux Python UDFs à compter du 1er novembre 2025. Si vous souhaitez utiliser Python UDFs, créez la version UDFs antérieure à cette date. Le Python existant UDFs continuera à fonctionner normalement. Pour plus d'informations, consultez le billet de blog.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d’unités de partage des données gérées par Lake Formation en tant que producteur

Avec Amazon Redshift, vous pouvez accéder aux données partagées par le biais AWS Lake Formation de partages de données et les analyser. AWS Lake Formation les partages de données permettent un partage sécurisé des données entre les AWS comptes et les clusters Amazon Redshift sans avoir à copier ou à déplacer les données sous-jacentes.

Le partage de données vous AWS Lake Formation permet de définir de manière centralisée AWS Lake Formation les autorisations des partages de données Amazon Redshift et de restreindre l'accès des utilisateurs aux objets d'un partage de données.

Avec Amazon Redshift, vous pouvez partager en toute sécurité des données en temps réel entre des AWS comptes et des clusters Amazon Redshift en AWS Lake Formation utilisant des partages de données gérés en tant que producteur. Un partage de données géré par Lake Formation est un objet qui vous permet de partager des données en direct depuis votre cluster Amazon Redshift avec d'autres comptes et services. AWS

En tant qu’administrateur de cluster producteur ou de groupe de travail, procédez comme suit pour partager des unités de partage des données avec Lake Formation :

  1. Créez des partages de données dans votre cluster et autorisez l'accès AWS Lake Formation aux partages de données.

    Seuls les super-utilisateurs de cluster et les propriétaires de base de données peuvent créer des unités de partage des données. Chaque datashare est associé à une base de données lors de sa création. Seuls les objets de cette base de données peuvent être partagés dans ce datashare. Plusieurs datashares peuvent être créés sur la même base de données avec la même précision d'objets ou une précision différente. Il n’y a pas de limite au nombre d’unités de partage des données que vous pouvez créer sur un cluster.

    CREATE DATASHARE salesshare;

  2. Ajoutez des objets à l’unité de partage des données. L’administrateur du cluster producteur ou du groupe de travail continue de gérer les objets de l’unité de partage des données disponibles. Pour ajouter des objets à une unité de partage des données, ajoutez le schéma avant d’ajouter des objets. Lorsque vous ajoutez un schéma, Amazon Redshift n’ajoute pas tous les objets qu’il contient. Vous devez les ajouter explicitement. Pour plus d’informations, consultez ALTER DATASHARE. 

    ALTER DATASHARE salesshare ADD SCHEMA PUBLIC;
ALTER DATASHARE salesshare ADD TABLE public.tickit_sales_redshift;
ALTER DATASHARE salesshare ADD ALL TABLES IN SCHEMA PUBLIC;

    Vous pouvez également ajouter des vues à une unité de partage des données. Seules les vues standard, à liaison tardive et matérialisées sont prises en charge.

    CREATE VIEW public.sales_data_summary_view AS SELECT * FROM public.tickit_sales_redshift;
ALTER DATASHARE salesshare ADD TABLE public.tickit_sales_redshift;

    Utilisez ALTER DATASHARE pour partager des schémas, des tables et des vues dans un schéma donné. Les super-utilisateurs, les propriétaires d’unité de partage des données ou les utilisateurs disposant des autorisations ALTER ou ALL sur l’unité de partage des données peuvent modifier l’unité de partage des données pour y ajouter des objets ou en supprimer. Les utilisateurs de la base de données doivent également être les propriétaires des objets ou disposer des autorisations SELECT, USAGE ou ALL sur les objets.

    Utilisez la clause INCLUDENEW pour ajouter de nouvelles tables et des vues créées dans un schéma spécifié à l’unité de partage des données. Seuls les super-utilisateurs peuvent modifier cette propriété pour chaque paire datashare-schéma.

    ALTER DATASHARE salesshare ADD SCHEMA PUBLIC;
ALTER DATASHARE salesshare SET INCLUDENEW = TRUE FOR SCHEMA PUBLIC;

  3. Autorisez l’unité de partage des données à accéder à un compte administrateur Lake Formation.

    GRANT USAGE ON DATASHARE salesshare TO ACCOUNT '012345678910' VIA DATA CATALOG;

    Pour annuler l’utilisation, utilisez la commande suivante.

    REVOKE USAGE ON DATASHARE salesshare FROM ACCOUNT '012345678910' VIA DATA CATALOG;

  4. Autorisez l’unité de partage des données à accéder à Lake Formation à l’aide de l’opération d’API aws redshift authorize-data-share. Cela permet à Lake Formation de reconnaître l’unité de partage des données dans le compte de service et de gérer l’association des consommateurs à l’unité de partage des données.

    aws redshift authorize-data-share 
--data-share-arn arn:aws:redshift:us-east-1:{PRODUCER_ACCOUNT}:datashare:{PRODUCER_CLUSTER_NAMESPACE}/salesshare 
--consumer-identifier {"DataCatalog/<consumer-account-id>"}

    Pour supprimer l’autorisation des unités de partage des données gérés par Lake Formation, utilisez l’opération d’API aws redshift deauthorize-data-share. Ce faisant, vous autorisez AWS Lake Formation à reconnaître le partage de données dans le compte de service et à supprimer l'autorisation. 

    aws redshift deauthorize-data-share 
--data-share-arn arn:aws:redshift:us-east-1:{PRODUCER_ACCOUNT}:datashare:{PRODUCER_CLUSTER_NAMESPACE}/salesshare 
--consumer-identifier {"DataCatalog/<consumer-account-id>"}

    À tout moment, si l’administrateur du cluster producteur ou du groupe de travail décide qu’il n’est plus nécessaire de partager des données avec le cluster consommateur ou le groupe de travail, il peut utiliser DROP DATASHARE pour supprimer l’unité de partage des données, annuler les autorisations de l’unité de partage des données ou révoquer les autorisations de l’unité de partage des données. Les autorisations et les objets associés dans Lake Formation ne sont pas automatiquement supprimés. 

    DROP DATASHARE salesshare;

    Après avoir autorisé le compte Lake Formation à gérer le partage de données, l'administrateur de Lake Formation peut découvrir le partage de données partagé, associer le partage de données à un ARN du catalogue de données et créer une base de données dans le lien vers le partage de données. AWS Glue Data Catalog Pour associer des partages de données à l'aide de AWS CLI, utilisez la commande. associate-data-share-consumer Pour partager une unité de partage des données entre des Régions AWS, spécifiez le paramètre --region dans la commande associate-data-share-consumer ou utilisez la console AWS pour choisir vos consommateurs de données. L'exemple suivant montre comment partager un partage de données géré par Lake Formation entre plusieurs régions. 

    aws redshift associate-data-share-consumer --region <region-1>
--data-share-arn 'arn:aws:redshift:us-east-1:12345678912:datashare:035c45ea-61ce-86f0-8b75-19ac6102c3b7/sample_share' 
--consumer-arn 'arn:aws:glue:<region-1>:111912345678:catalog'

    L’administrateur Lake Formation doit également créer des ressources locales qui définissent la manière dont les objets de l’unité de partage des données doivent être mappés aux objets Lake Formation. Pour plus d’informations sur la découverte des unités de partage des données et la création de ressources locales, consultez Gestion des autorisations pour les données dans une unité de partage des données Amazon Redshift.