本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Lake Formation管理的資料共用
使用 Amazon Redshift,您可以透過 AWS Lake Formation受管資料共用來存取和共用 AWS 帳戶和 Amazon Redshift 叢集之間的即時資料。 AWS Lake Formation 資料共用可讓資料提供者安全地將來自其 Amazon S3 資料湖的即時資料與任何消費者共用,包括其他 AWS 帳戶和 Amazon Redshift 叢集。
使用 AWS Lake Formation,您可以集中定義和強制執行 Amazon Redshift 資料共用的資料庫、資料表、資料欄和資料列層級存取許可,並限制使用者存取資料共用內的物件。透過 Lake Formation 共用資料,您可以在 Lake Formation 中定義許可,並將這些許可套用至任何資料共用及其物件。例如,如果您有一份包含員工資訊的資料表,則可以使用 Lake Formation 的資料欄層級篩選,防止不在人力資源部門工作的員工看到個人身分識別資訊 (PII),例如社會安全號碼。如需資料篩選的相關資訊,請參閱《AWS Lake Formation 開發人員指南》中的 Lake Formation 中的資料篩選與儲存格層級安全性。
您也可以在 Lake Formation 中使用標籤來設定 Lake Formation 資源的許可。如需詳細資訊,請參閱 Lake Formation 的標籤式存取控制。
Amazon Redshift 目前在相同帳戶內或跨帳戶共用時,可支援透過 Lake Formation 進行資料共用。目前不支援跨區域共用。
以下是如何使用 Lake Formation 控制資料共用許可的概觀:
-
在 Amazon Redshift 中,生產者叢集或工作群組管理員會在生產者叢集或工作群組上建立資料共用,並將使用權授予 Lake Formation 帳戶。
-
生產者叢集或工作群組管理員可授權 Lake Formation 帳戶存取資料共用。
-
Lake Formation 管理員可探索並註冊資料共用。他們也必須探索他們有權存取 AWS Glue ARNs,並將資料共用與 AWS Glue Data Catalog ARN 建立關聯。如果您使用的是 AWS CLI ,則可以探索並接受與 Redshift CLI 操作
describe-data-shares和 的資料共用associate-data-share-consumer。若要註冊資料共用,請使用 Lake Formation CLI 操作register-resource。 -
Lake Formation 管理員會在 中建立聯合資料庫 AWS Glue Data Catalog,並設定 Lake Formation 許可,以控制使用者對資料共用內物件的存取。如需 中聯合資料庫的詳細資訊 AWS Glue,請參閱管理 Amazon Redshift 資料共用中的資料許可。
-
Lake Formation 管理員探索他們可存取的 AWS Glue 資料庫,並將資料共用與 AWS Glue Data Catalog ARN 建立關聯。
-
Redshift 管理員探索他們可存取的 AWS Glue 資料庫 ARN、使用 AWS Glue 資料庫 ARN 在 Amazon Redshift 取用者叢集中建立外部資料庫,並將用量授予使用 IAM 登入資料驗證的資料庫使用者,以開始查詢 Amazon Redshift 資料庫。 ARNs
-
資料庫使用者可以使用檢視 SVV_EXTERNAL_TABLES 和 SVV_EXTERNAL_COLUMNS 來尋找他們有權存取之 AWS Glue 資料庫中的所有資料表或資料欄,然後他們可以查詢 AWS Glue 資料庫的資料表。
-
當生產者叢集或工作群組管理員決定不再與取用者叢集共用資料時,生產者管理員可以從 Redshift 撤銷用量、取消授權或刪除資料共用。Lake Formation 中的相關許可和物件不會自動刪除。
如需以生產者叢集或工作群組管理員 AWS Lake Formation 身分與 共用資料共用的詳細資訊,請參閱 以生產者身分使用 Lake Formation 管理的資料共用。若要取用生產者叢集或工作群組中的共用資料,請參閱 以取用者身分使用 Lake Formation 管理的資料共用。
