本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在另一個 AWS 帳戶中註冊 Amazon S3 位置
AWS Lake Formation 讓您能夠跨 AWS 帳戶註冊亞馬遜簡單儲存服務 (Amazon S3) 位置。例如,如果帳戶 A 中,帳戶 A 中的使用者可以在帳戶 B 中註冊 Amazon S3 儲存貯體。 AWS Glue Data Catalog
使用帳戶 A 中的 AWS Identity and Access Management (IAM) 角色在 AWS 帳戶 B 中 AWS 註冊 Amazon S3 儲存貯體需要下列許可:
-
帳戶 A 中的角色必須授與帳戶 B 中值區的權限。
-
帳戶 B 中的值區政策必須授與帳戶 A 中角色的存取權限。
重要
避免註冊已啟用請求者付費的 Amazon S3 儲存貯體。對於在 Lake Formation 註冊的值區,用於註冊值區的角色一律會被視為請求者。如果值區是由其他 AWS 帳戶存取,如果該角色與值區擁有者屬於相同的帳戶,則值區擁有者會收取資料存取費用。
您無法使用 Lake Formation 服務連結角色在其他帳戶中註冊位置。您必須改用使用者定義的角色。角色必須符合中的需求用於註冊地點的角色需求。如需服務連結角色的詳細資訊,請參閱Lake Formation 的服務連結角色權限。
開始之前
檢閱用來註冊位置之角色的需求。
在其他 AWS 帳戶中註冊地點
注意
如果位置已加密,請改為遵循中的指跨 AWS 帳戶註冊加密的 Amazon S3 位置示。
下列程序假設帳戶 1111-2222-3333 中包含資料目錄的主體想要註冊帳戶 1234-5678-9012 的 Amazon S3 儲存貯awsexamplebucket1
體。
-
在帳戶 1111-2222-3333 中,請登入 AWS Management Console 並在開啟主控台。IAM https://console.aws.amazon.com/iam/
-
建立新角色或檢視符合中需求的現有角色用於註冊地點的角色需求。確保該角色在授予 Amazon S3 許可
awsexamplebucket1
。 -
在開啟 Amazon S3 主控台https://console.aws.amazon.com/s3/
。請使用帳號登入。 -
在「值區名稱」清單中,選擇值區名稱、
awsexamplebucket1
。 -
選擇許可。
-
在 [權限] 頁面上,選擇 [值區政策]。
-
在值區政策編輯器中,貼上下列原則。Replace (取代)
<role-name>
與你的角色的名稱。{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Principal": { "AWS":"arn:aws:iam::111122223333:role/
<role-name>
" }, "Action":"s3:ListBucket", "Resource":"arn:aws:s3:::awsexamplebucket1" }, { "Effect":"Allow", "Principal": { "AWS":"arn:aws:iam::111122223333:role/<role-name>
" }, "Action": [ "s3:DeleteObject", "s3:GetObject", "s3:PutObject" ], "Resource":"arn:aws:s3:::awsexamplebucket1/*" } ] } -
選擇儲存。
-
在開啟 AWS Lake Formation 主控台https://console.aws.amazon.com/lakeformation/
。以資料湖管理員身分或具有足夠權限的使用者身分登入帳戶 1111-2222-3333。 -
在導覽窗格的 [系統管理] 下,選擇 [資料湖位置]。
-
在 [資料湖位置] 頁面上,選擇 [註冊位置]。
-
在 [註冊位置] 頁面上,對於 Amazon S3 路徑,輸入儲存貯體名稱
s3://awsexamplebucket1
。注意
您必須輸入值區名稱,因為當您選擇「瀏覽」時,跨帳戶時段不會出現在清單中。
-
對於IAM角色,請選擇您的角色。
-
選擇註冊地點。