Compartir datos entre cuentas en Lake Formation - AWS Lake Formation

Compartir datos entre cuentas en Lake Formation

Las capacidades de Lake Formation entre cuentas permiten a los usuarios compartir de forma segura lagos de datos distribuidos a través de múltiples Cuentas de AWS, organizaciones de AWS o directamente con entidades principales de IAM en otra cuenta proporcionando acceso detallado a los metadatos del Catálogo de datos y los datos subyacentes. Las grandes empresas suelen utilizar varias Cuentas de AWS, y es posible que muchas de esas cuentas necesiten acceder a un lago de datos gestionado por una Cuenta de AWS única. Los usuarios y los trabajos de extracción, transformación y carga (ETL) de AWS Glue pueden consultar y unir tablas en varias cuentas y seguir aprovechando las protecciones de datos de tabla y columna de Lake Formation.

Al conceder permisos de Lake Formation sobre un recurso del Catálogo de datos a una cuenta externa o directamente a una entidad principal de IAM de otra cuenta, Lake Formation utiliza el servicio AWS Resource Access Manager (AWS RAM) para compartir el recurso. Si la cuenta del beneficiario está en la misma organización que la cuenta del concedente, el recurso compartido estará disponible inmediatamente para el beneficiario. Si la cuenta del beneficiario no pertenece a la misma organización, AWS RAM envía una invitación a la cuenta del beneficiario para que acepte o rechace la concesión del recurso. Luego, para que el recurso compartido esté disponible, el administrador del lago de datos de la cuenta del beneficiario debe usar la consola de AWS RAM o la AWS CLI para aceptar la invitación.

Lake Formation permite compartir los recursos del Catálogo de datos con cuentas externas en modo de acceso híbrido. El modo de acceso híbrido proporciona la flexibilidad de habilitar selectivamente los permisos de Lake Formation para las bases de datos y tablas de su AWS Glue Data Catalog.
 Con el modo de acceso híbrido, ahora tiene una ruta incremental que le permite establecer los permisos de Lake Formation para un conjunto específico de usuarios sin interrumpir las políticas de permisos de otros usuarios o cargas de trabajo existentes.

Para obtener más información, consulte Modo de acceso híbrido.

Cómo compartir directamente entre cuentas

Las entidades principales autorizadas pueden compartir recursos de forma explícita con una entidad principal de IAM en una cuenta externa. Esta característica es útil cuando el propietario de una cuenta quiere controlar quién puede acceder a los recursos en la cuenta externa. Los permisos que reciba la entidad principal de IAM serán una combinación de concesiones directas y concesiones de cuenta que se transferirán en cascada a las entidades principales. El administrador del lago de datos de la cuenta receptora puede ver las concesiones directas entre cuentas, pero no revocar los permisos. La entidad principal que recibe el recurso compartido no puede compartir el recurso con otras entidades principales.

Métodos para compartir los recursos del Catálogo de datos

Con una sola operación de concesión de Lake Formation, puede conceder permisos entre cuentas en los siguientes recursos del Catálogo de datos.

  • Una base de datos

  • Una tabla individual (con filtrado de columnas opcional)

  • Algunas tablas seleccionadas

  • Todas las tablas de una base de datos (mediante el comodín Todas las tablas)

Hay dos opciones para compartir las bases de datos y las tablas con otra Cuenta de AWS o con entidades principales de IAM en otra cuenta.

  • Control de acceso basado en etiquetas de Lake Formation (LF-TBAC) (recomendado)

    El control de acceso basado en atributos de Lake Formation es una estrategia de autorización que define permisos basados en atributos. Puede usar control de acceso basado en etiquetas para compartir recursos del Catálogo de datos (bases de datos, tablas y columnas) con entidades principales de IAM, Cuentas de AWS, organizaciones y unidades organizativas (UO) externas. En Lake Formation, estos atributos se denominan etiquetas LF. Para más información, consulte Gestión de un lago de datos mediante el control de acceso basado en etiquetas de Lake Formation.

    nota

    El método LF-TBAC para conceder permisos al Catálogo de datos utiliza AWS Resource Access Manager para las concesiones entre cuentas.

    Lake Formation ahora admite la concesión de permisos entre cuentas a organizaciones y unidades organizativas utilizando el método LF-TBAC.

    Para activar esta prestación, debe actualizar la Configuración de la versión entre cuentas a la Versión 3.

    Para obtener más información, consulte Actualización de los ajustes de la versión entre cuentas para compartir datos.

  • Recursos con nombre de Lake Formation

    El intercambio de datos entre cuentas de Lake Formation mediante el método de recursos con nombre asignado le permite conceder permisos de Lake Formation con una opción de concesión en las tablas y bases de datos del Catálogo de datos a Cuentas de AWS, entidades principales de IAM, organizaciones o unidades organizativas externas. La operación de concesión comparte automáticamente esos recursos.

nota

También puede permitir que el rastreador de AWS Glue acceda a un almacén de datos de una cuenta diferente con credenciales de Lake Formation. Para más información, consulte Rastreo entre cuentas en la Guía del desarrollador de AWS Glue.

Los servicios integrados, como Athena y Amazon Redshift Spectrum, requieren enlaces a recursos para poder incluir recursos compartidos en las consultas. Para obtener más información sobre los enlaces de recursos, consulte Cómo funcionan los enlaces de recursos en Lake Formation.

Para ver las consideraciones y limitaciones, consulte Prácticas recomendadas y consideraciones para uso compartido de datos entre cuentas.

Temas
Temas relacionados de