Praktik dan pertimbangan terbaik berbagi data lintas akun - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik dan pertimbangan terbaik berbagi data lintas akun

Kemampuan lintas akun Lake Formation memungkinkan pengguna untuk berbagi data lake terdistribusi dengan aman di beberapa AWS organisasi Akun AWS, atau langsung dengan IAM prinsipal di akun lain yang menyediakan akses halus ke metadata Katalog Data dan data yang mendasarinya.

Pertimbangkan praktik terbaik berikut saat menggunakan berbagi data lintas akun Lake Formation:

  • Tidak ada batasan jumlah hibah izin Lake Formation yang dapat Anda berikan kepada kepala sekolah di akun Anda sendiri. AWS Namun, Lake Formation menggunakan AWS Resource Access Manager (AWS RAM) kapasitas untuk hibah lintas akun yang dapat dibuat akun Anda dengan metode sumber daya bernama. Untuk memaksimalkan AWS RAM kapasitas, ikuti praktik terbaik berikut untuk metode sumber daya bernama:

    • Gunakan mode hibah lintas akun baru (Versi 3 ke atas di bawah pengaturan versi Cross account) untuk berbagi sumber daya dengan eksternal Akun AWS. Untuk informasi selengkapnya, lihat Memperbarui pengaturan versi berbagi data lintas akun.

    • Atur AWS akun ke dalam organisasi, dan berikan izin kepada organisasi atau unit organisasi. Hibah untuk organisasi atau unit organisasi dihitung sebagai satu hibah.

      Pemberian kepada organisasi atau unit organisasi juga menghilangkan kebutuhan untuk menerima AWS Resource Access Manager (AWS RAM) undangan pembagian sumber daya untuk hibah. Untuk informasi selengkapnya, lihat Mengakses dan melihat tabel dan database Katalog Data bersama.

    • Alih-alih memberikan izin pada banyak tabel individual dalam database, gunakan wildcard khusus Semua tabel untuk memberikan izin pada semua tabel dalam database. Pemberian pada Semua tabel dihitung sebagai hibah tunggal. Untuk informasi selengkapnya, lihat Memberikan izin pada sumber daya Katalog Data.

    catatan

    Untuk informasi selengkapnya tentang meminta batas yang lebih tinggi untuk jumlah pembagian sumber daya AWS RAM, lihat kuota AWS layanan di. Referensi Umum AWS

  • Anda harus membuat tautan sumber daya ke database bersama agar database tersebut muncul di editor kueri Amazon Redshift Spectrum Amazon Athena dan Amazon Redshift. Demikian pula, untuk dapat menanyakan tabel bersama menggunakan Athena dan Redshift Spectrum, Anda harus membuat tautan sumber daya ke tabel. Tautan sumber daya kemudian muncul di daftar tabel editor kueri.

    Alih-alih membuat tautan sumber daya untuk banyak tabel individual untuk kueri, Anda dapat menggunakan wildcard Semua tabel untuk memberikan izin pada semua tabel dalam database. Kemudian, saat Anda membuat tautan sumber daya untuk database tersebut dan memilih tautan sumber daya basis data di editor kueri, Anda akan memiliki akses ke semua tabel di database tersebut untuk kueri Anda. Untuk informasi selengkapnya, lihat Membuat tautan sumber daya.

  • Saat Anda berbagi sumber daya secara langsung dengan prinsipal di akun lain, IAM prinsipal di akun penerima mungkin tidak memiliki izin untuk membuat tautan sumber daya agar dapat menanyakan tabel bersama menggunakan Athena dan Amazon Redshift Spectrum. Alih-alih membuat tautan sumber daya untuk setiap tabel yang dibagikan, administrator data lake dapat membuat database placeholder dan memberikan CREATE_TABLE izin ke grup. ALLIAMPrincipal Kemudian, semua IAM prinsipal di akun penerima dapat membuat tautan sumber daya di database placeholder dan mulai menanyakan tabel bersama.

    Lihat CLI perintah contoh untuk memberikan izin untuk ALLIAMPrincipals masuk. Memberikan izin database menggunakan metode sumber daya bernama

  • Athena dan Redshift Spectrum mendukung kontrol akses tingkat kolom, tetapi hanya untuk inklusi, bukan pengecualian. Kontrol akses tingkat kolom tidak didukung di AWS Glue ETLpekerjaan.

  • Ketika sumber daya dibagikan dengan AWS akun Anda, Anda dapat memberikan izin pada sumber daya hanya kepada pengguna di akun Anda. Anda tidak dapat memberikan izin pada sumber daya ke AWS akun lain, ke organisasi (bahkan organisasi Anda sendiri), atau ke IAMAllowedPrincipals grup.

  • Anda tidak dapat memberikan DROP atau Super pada database ke akun eksternal.

  • Cabut izin lintas akun sebelum Anda menghapus database atau tabel. Jika tidak, Anda harus menghapus pembagian sumber daya yatim piatu di. AWS Resource Access Manager