Buone pratiche e considerazioni sulla condivisione dei dati tra account - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Buone pratiche e considerazioni sulla condivisione dei dati tra account

Le funzionalità cross-account di Lake Formation consentono agli utenti di condividere in modo sicuro i data lake distribuiti tra più AWS organizzazioni o direttamente con i responsabili IAM in un altro account Account AWS, fornendo un accesso granulare ai metadati del Data Catalog e ai dati sottostanti.

Prendi in considerazione le seguenti best practice per l'utilizzo della condivisione di dati tra account di Lake Formation:

  • Non c'è limite al numero di concessioni di autorizzazioni di Lake Formation che puoi concedere ai mandanti per tuo conto. AWS Tuttavia, Lake Formation utilizza la capacità AWS Resource Access Manager (AWS RAM) per le sovvenzioni tra account che il tuo account può effettuare con il metodo delle risorse denominato. Per massimizzare la AWS RAM capacità, segui queste migliori pratiche per il metodo delle risorse denominate:

    • Utilizza la nuova modalità di concessione tra account (versione 3 e successive nelle impostazioni della versione Cross account) per condividere una risorsa con un esterno. Account AWS Per ulteriori informazioni, consulta Aggiornamento delle impostazioni della versione di condivisione dei dati tra account.

    • Suddividi AWS gli account in organizzazioni e concedi le autorizzazioni alle organizzazioni o alle unità organizzative. Una concessione a un'organizzazione o a un'unità organizzativa conta come un'unica concessione.

      La concessione a organizzazioni o unità organizzative elimina inoltre la necessità di accettare un AWS Resource Access Manager (AWS RAM) invito alla condivisione di risorse per la sovvenzione. Per ulteriori informazioni, consulta Accesso e visualizzazione di tabelle e database di Data Catalog condivisi.

    • Invece di concedere le autorizzazioni su molte singole tabelle di un database, utilizzate la speciale jolly Tutte le tabelle per concedere le autorizzazioni su tutte le tabelle del database. La concessione su tutte le tabelle viene considerata un'unica concessione. Per ulteriori informazioni, consulta Concessione e revoca delle autorizzazioni per le risorse del Data Catalog.

    Nota

    Per ulteriori informazioni sulla richiesta di un limite più elevato per il numero di condivisioni di risorse in AWS RAM, vedere le quote AWS di servizio nel. Riferimenti generali di AWS

  • È necessario creare un link di risorsa a un database condiviso affinché tale database appaia negli Amazon Athena editor di query di Amazon Redshift Spectrum. Analogamente, per poter eseguire query su tabelle condivise utilizzando Athena e Redshift Spectrum, è necessario creare collegamenti di risorse alle tabelle. I collegamenti alle risorse vengono quindi visualizzati nell'elenco delle tabelle degli editor di query.

    Invece di creare collegamenti alle risorse per molte singole tabelle a scopo di interrogazione, è possibile utilizzare il carattere jolly Tutte le tabelle per concedere le autorizzazioni su tutte le tabelle di un database. Quindi, quando crei un link a una risorsa per quel database e lo selezioni nell'editor di query, avrai accesso a tutte le tabelle del database per la tua query. Per ulteriori informazioni, consulta Creazione di collegamenti alle risorse.

  • Quando condividi risorse direttamente con i responsabili di un altro account, il responsabile IAM nell'account del destinatario potrebbe non avere l'autorizzazione a creare collegamenti alle risorse per poter interrogare le tabelle condivise utilizzando Athena e Amazon Redshift Spectrum. Invece di creare un link a una risorsa per ogni tabella condivisa, l'amministratore del data lake può creare un database segnaposto e concedere CREATE_TABLE l'autorizzazione al gruppo. ALLIAMPrincipal Quindi, tutti i responsabili IAM presenti nell'account del destinatario possono creare collegamenti alle risorse nel database dei segnaposto e iniziare a interrogare le tabelle condivise.

    Vedi il comando CLI di esempio per concedere le autorizzazioni a in. ALLIAMPrincipals Concessione delle autorizzazioni al database utilizzando il metodo di risorsa denominato

  • Athena e Redshift Spectrum supportano il controllo degli accessi a livello di colonna, ma solo per l'inclusione, non per l'esclusione. Il controllo degli accessi a livello di colonna non è supportato nei job ETL. AWS Glue

  • Quando una risorsa viene condivisa con il tuo AWS account, puoi concedere le autorizzazioni sulla risorsa solo agli utenti del tuo account. Non puoi concedere le autorizzazioni sulla risorsa ad altri AWS account, alle organizzazioni (nemmeno alla tua organizzazione) o al IAMAllowedPrincipals gruppo.

  • Non puoi concedere DROP o Super su un database a un account esterno.

  • Revoca le autorizzazioni tra account prima di eliminare un database o una tabella. Altrimenti, è necessario eliminare le condivisioni di risorse orfane in. AWS Resource Access Manager