Unités de partage des données gérées par AWS Lake Formation - Amazon Redshift
Considérations et limites lors de l'utilisation AWS Lake Formation avec Amazon Redshift

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Unités de partage des données gérées par AWS Lake Formation

Vous pouvez ainsi définir et appliquer de manière centralisée les autorisations d'accès aux bases de données, aux tables, aux colonnes et aux lignes des partages de données Amazon Redshift et restreindre l'accès des utilisateurs aux objets d'un partage de données. AWS Lake Formation En partageant des données via Lake Formation, vous pouvez définir des autorisations dans Lake Formation et appliquer ces autorisations à n’importe quelle unité de partage des données et à ses objets. Par exemple, si vous disposez d’une table contenant des informations sur les employés, vous pouvez utiliser les filtres au niveau des colonnes de Lake Formation pour empêcher les employés qui ne travaillent pas dans le service des ressources humaines de voir des données d’identification personnelle (PII), telles qu’un numéro de sécurité sociale. Pour plus d’informations sur les filtres de données, consultez Filtrage des données et sécurité au niveau des cellules dans Lake Formation dans le Guide du développeur AWS Lake Formation .

Vous pouvez également utiliser les identifications dans Lake Formation pour configurer les autorisations sur les ressources de Lake Formation. Pour plus d’informations, consultez Contrôle d’accès basé sur l’identifiant de Lake Formation.

Amazon Redshift prend actuellement en charge le partage des données via Lake Formation au sein d’un même compte ou entre comptes. Le partage inter-régions n’est pas pris en charge actuellement.

Voici un aperçu général de l’utilisation de Lake Formation pour contrôler les autorisations des unités de partage des données :

  1. Dans Amazon Redshift, l’administrateur du groupe de travail ou du cluster producteur crée une unité de partage des données sur ce dernier et autorise l’utilisation d’un compte Lake Formation.

  2. L’administrateur du groupe de travail ou du cluster producteur autorise le compte Lake Formation à accéder à l’unité de partage des données.

  3. L’administrateur Lake Formation découvre et enregistre les unités de partage des données. Ils doivent également découvrir les AWS Glue ARN auxquels ils ont accès et associer les partages de données à un ARN. AWS Glue Data Catalog Si vous utilisez le, AWS CLI vous pouvez découvrir et accepter les partages de données à l'aide des opérations de la CLI Redshift et. describe-data-shares associate-data-share-consumer Pour enregistrer une unité de partage des données, utilisez l’opération CLI register-resource de Lake Formation.

  4. L'administrateur de Lake Formation crée une base de données fédérée dans le AWS Glue Data Catalog et configure les autorisations de Lake Formation pour contrôler l'accès des utilisateurs aux objets du partage de données. Pour plus d'informations sur les bases de données fédérées dans AWS Glue, consultez la section Gestion des autorisations pour les données dans un partage de données Amazon Redshift.

  5. L'administrateur de Lake Formation découvre les AWS Glue bases de données auxquelles il a accès et associe le partage de données à un ARN AWS Glue Data Catalog .

  6. L'administrateur Redshift découvre les ARN de AWS Glue base de données auxquels il a accès, crée une base de données externe dans le cluster de consommateurs Amazon Redshift à l'aide d'un AWS Glue ARN de base de données et autorise les utilisateurs de base de données authentifiés avec des informations d'identification IAM à les utiliser pour commencer à interroger la base de données Amazon Redshift.

  7. Les utilisateurs de base de données peuvent utiliser les vues SVV_EXTERNAL_TABLES et SVV_EXTERNAL_COLUMNS pour rechercher toutes les tables ou colonnes de la base de AWS Glue données auxquelles ils ont accès, puis ils peuvent interroger les tables de la base de données. AWS Glue

  8. Lorsque l’administrateur groupe de travail ou du cluster producteur décide de ne plus partager les données avec le cluster consommateur, il peut révoquer l’utilisation, supprimer l’autorisation ou supprimer l’unité de partage des données dans Redshift. Les autorisations et les objets associés dans Lake Formation ne sont pas automatiquement supprimés.

Pour plus d'informations sur le partage d'un partage de données avec un cluster AWS Lake Formation de producteurs ou un administrateur de groupe de travail, consultez. Utilisation d’unités de partage des données gérées par Lake Formation en tant que producteur Pour utiliser les données partagées depuis un cluster producteur ou un groupe de travail, consultez Utilisation d’unités de partage des données gérées par Lake Formation en tant que consommateur.

Considérations et limites lors de l'utilisation AWS Lake Formation avec Amazon Redshift

Vous trouverez ci-dessous des considérations et des limitations concernant le partage des données Amazon Redshift via Lake Formation. Pour en savoir plus sur les considérations et les limites du partage de données, consultez Considérations relatives au partage de données dans Amazon Redshift. Pour plus d’informations sur les limites de Lake Formation, consultez Notes sur le travail avec les unités de partage des données d’Amazon Redshift dans Lake Formation.

  • Le partage d’une unité de partage des données avec Lake Formation entre les régions n’est actuellement pas pris en charge.

  • Si des filtres au niveau des colonnes sont définis pour un utilisateur sur une relation partagée, l’exécution d’une opération SELECT * ne renvoie que les colonnes auxquelles l’utilisateur a accès.

  • Les filtres au niveau des cellules de Lake Formation ne sont pas pris en charge.

  • Si vous avez créé et partagé une vue et ses tables avec Lake Formation, vous pouvez configurer des filtres pour gérer l’accès aux tables. Amazon Redshift applique les stratégies d’accès définies par Lake Formation lorsque les utilisateurs du cluster consommateur accèdent aux objets partagés. Lorsqu’un utilisateur accède à une vue partagée avec Lake Formation, Redshift n’applique que les stratégies d’accès définies sur la vue et non sur les tables contenues dans la vue. Toutefois, lorsque les utilisateurs accèdent directement à la table, Redshift applique les stratégies Lake Formation définies sur la table.

  • Vous ne pouvez pas créer de vues matérialisées sur le consommateur à partir d’une table partagée si des filtres Lake Formation sont configurés sur cette table.

  • L’administrateur Lake Formation doit disposer des autorisations d’administrateur de lac de données et des autorisations requises pour accepter une unité de partage des données.

  • Le cluster producteur-consommateur doit être un cluster RA3 avec la dernière version du cluster Amazon Redshift ou un groupe de travail sans serveur pour partager des partages de données via Lake Formation.

  • Les clusters producteur et consommateur doivent être chiffrés.

  • Les stratégies de contrôle d’accès Redshift de niveau lignes et colonnes mises en œuvre dans le cluster producteur ou le groupe de travail sont ignorées lorsque l’unité de partage des données est partagée avec Lake Formation. L’administrateur Lake Formation doit configurer ces politiques dans Lake Formation. L’administrateur du cluster producteur ou du groupe de travail peut désactiver RLS pour une table à l’aide de la commande ALTER TABLE.

  • Le partage de l’unité de partage des données via Lake Formation n’est disponible que pour les utilisateurs qui ont accès à la fois à Redshift et à Lake Formation.