Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurare l'accesso al Data Catalog tra più account
Per accedere a un catalogo dati in un altro account, puoi utilizzare la funzionalità AWS Glue multi-account di Athena o imposta l'accesso tra account in Lake Formation.
Opzione A: configurare l'accesso al catalogo dati tra account diversi in Athena
Puoi utilizzare la funzionalità di catalogo multiaccount di Athena per registrare il AWS Glue catalogo nel tuo account. Questa funzionalità è disponibile solo nella versione 2 del motore Athena e versioni successive ed è limitata all'uso della stessa regione tra gli account. Per ulteriori informazioni, consulta Registrare un catalogo dati da un altro account.
Se il Catalogo dati da condividere ha una politica delle risorse configurata in AWS Glue, questa deve essere aggiornata per consentire l'accesso AWS Resource Access Manager e concedere all'Account B le autorizzazioni per utilizzare il Catalogo dati dell'Account A, come nell'esempio seguente.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "ram.amazonaws.com" }, "Action": "glue:ShareResource", "Resource": [ "arn:aws:glue:
<REGION>
:<ACCOUNT-A>
:table/*/*", "arn:aws:glue:<REGION>
:<ACCOUNT-A>
:database/*", "arn:aws:glue:<REGION>
:<ACCOUNT-A>
:catalog" ] }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<ACCOUNT-B>
:root" }, "Action": "glue:*", "Resource": [ "arn:aws:glue:<REGION>
:<ACCOUNT-A>
:table/*/*", "arn:aws:glue:<REGION>
:<ACCOUNT-A>
:database/*", "arn:aws:glue:<REGION>
:<ACCOUNT-A>
:catalog" ] } ] }
Per ulteriori informazioni, consulta Configurare l'accesso tra account ai cataloghi di AWS Glue dati.
Opzione B: configura l'accesso tra account diversi in Lake Formation
AWS Lake Formation consente di utilizzare un singolo account per gestire un Data Catalog centralizzato. Puoi usare questa funzione per implementare l'accesso tra account nei metadati del Catalogo dati e nei dati sottostanti. Ad esempio, un account proprietario può concedere a un altro account (destinatario) l'autorizzazione SELECT
per una tabella.
Affinché un database o una tabella condivisa appaia nell'Editor di query Athena, in Lake Formation crea un collegamento di risorse al database o alla tabella condivisa. Quando l'account del destinatario in Lake Formation interroga la tabella del proprietario, CloudTrailaggiunge l'evento di accesso ai dati ai registri sia per l'account del destinatario che per l'account del proprietario.
Per le visualizzazioni condivise, è importante considerare quanto segue:
-
Le query vengono eseguite sui collegamenti alle risorse di destinazione, non sulla tabella o sulla visualizzazione di origine e quindi l'output viene condiviso con l'account di destinazione.
-
Non è sufficiente condividere solo la visualizzazione. Tutte le tabelle coinvolte nella creazione della visualizzazione devono far parte della condivisione multi-account.
-
Per una visualizzazione condivisa, il nome del collegamento alla risorsa deve corrispondere al nome della risorsa nell'account del proprietario. Se il nome non corrisponde, viene visualizzato un messaggio di errore come «
Failed analyzing stored view» («awsdatacatalog»).
.my-lf-resource-link
.my-lf-view
': riga 3:3: si verifica lo schemaschema_name
non esiste
Per ulteriori informazioni sull'accesso multi-account in Lake Formation, consulta le informazioni seguenti nella Guida per gli sviluppatori di AWS Lake Formation :
Come funzionano i link alle risorse in Lake Formation
Registrazione tra più account CloudTrail