本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 從外部帳戶跨 AWS 帳戶 或 IAM 主體共用 Data Catalog 資料表和資料庫
本節包含如何將 Data Catalog 資源的跨帳戶許可授予外部 AWS 帳戶、IAM 主體、 AWS 組織或組織單位的指示。授予操作會自動共用這些資源。
**Topics**
+ [使用標籤型存取控制進行資料共用](cross-account-TBAC.md)
+ [使用具名資源方法的跨帳戶資料共用](cross-account-named-resource.md)
# 使用標籤型存取控制進行資料共用
AWS Lake Formation 標籤型存取控制 (LF-TBAC) 是一種授權策略,可根據屬性定義許可。下列步驟說明如何使用 LF 標籤授予跨帳戶許可。
**在生產者/授權方帳戶上設定必要項目**
1. 新增 LF 標籤。
1. 以資料湖管理員或 LF 標籤建立者身分登入 Lake Formation 主控台。
1. 在左側導覽列中,選擇**許可**,以及 **LF 標籤和許可**。
1. 選擇**新增 LF 標籤**。
如需建立 LF 標籤的詳細說明,請參閱 [建立 LF 標籤](TBAC-creating-tags.md)。
1. 授予 **描述**和/或**關聯**許可 **LF-Tag 鍵值**對至您帳戶或外部帳戶中的 IAM 主體。
授予 **LF-Tag 鍵/值**對的許可可讓主體檢視 LF-Tag,並將其指派給 Data Catalog 資源 (資料庫、資料表和資料欄)。
1. 接著,資料湖管理員或具有**關聯**許可的 IAM 主體可以將 LF 標籤指派給資料庫、資料表或資料欄。如需詳細資訊,請參閱[將 LF 標籤指派給 Data Catalog 資源](TBAC-assigning-tags.md)。
1. 接著,使用 LF-Tag 表達式將資料許可授予外部帳戶。這可讓許可的承授者或收件人存取以相同 (多個) 金鑰和 (多個) 值標記的 Data Catalog 資源。
1. 在導覽窗格中,選擇**許可**和**資料許可**。
1. 選擇 **Grant** (授予)。
1. 在**授予許可**頁面上,針對**委託人**,選擇**外部帳戶**,然後輸入委託人的承授者 AWS 帳戶 ID 或 IAM 角色,或針對委託人 (委託人 ARN) 輸入 Amazon Resource Name (ARN),如果是直接跨帳戶授予外部委託人。輸入帳戶 ID 後,您需要按 **Enter**。
![\[具有指定外部帳戶和 LF 標籤鍵/值對的授予許可畫面。\]](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/cross-acct-grant-tags.png)
1. 針對 **LF 標籤或目錄資源**,選擇**符合 LF 標籤的資源 (建議)**。
1. 選擇選項 **LF-Tag 鍵/值對**或**儲存的 LF-Tag 表達式** 。
1. **如果您選擇 **LF-Tag 鍵/值對**,請輸入與要與承授者帳戶共用之 Data Catalog 資源相關聯的 LF-Tag 鍵和值 (LF-Tag)**。 ****
被授予者在 LF-Tag 表達式中獲指派相符 LF-Tag 之 Data Catalog 資源的許可。如果 LF-Tag 表達式指定每個標籤索引鍵的多個值,則任何一個標籤值都可以相符。
1. 選擇資料庫層級或資料表層級許可,在符合 LF-Tag 表達式的資源上授予 。
**重要**
由於資料湖管理員必須將共用資源的許可授予承授者帳戶中的主體,因此您必須一律使用授予選項授予跨帳戶許可。
如需詳細資訊,請參閱[使用主控台授予 LF-Tag 許可](TBAC-granting-tags-console.md)。
**注意**
收到直接跨帳戶授予的委託人將沒有**可授予許可**選項。
**在接收/承授者帳戶上設定必要**
1. 以消費者帳戶的資料湖管理員身分登入 Lake Formation 主控台。
1. 接著,接收消費者帳戶中的資源共享。
1. 開啟 AWS RAM 主控台。
1. 在導覽窗格中,**於與我共用**下,選擇**資源共用**。
1. 選取資源共用,選擇**接受資源共用**。
1. 當您與其他帳戶共用資源時,資源仍屬於生產者帳戶,且在 Athena 主控台中看不到。若要在 Athena 主控台中顯示資源,您需要建立指向共用資源的資源連結。如需建立資源連結的說明,請參閱 [建立共用 Data Catalog 資料表的資源連結](create-resource-link-table.md) 和 [建立共用 Data Catalog 資料庫的資源連結](create-resource-link-database.md)
1. 在資料目錄下選擇**資料庫**或**資料表**。
1. 在資料庫/資料表頁面上,選擇**建立**、**資源連結** 。
1. 為資料庫資源連結輸入下列資訊:
+ **資源連結名稱** – 資源連結的唯一名稱。
+ **目的地目錄** – 您要建立資源連結的目錄。
+ **共用資料庫區域** – 如果您要在不同區域中建立資源連結,則與您共用的資料庫區域。
+ **共用資料庫** – 選擇共用資料庫。
+ **共用資料庫的目錄 ID** – 輸入共用資料庫的目錄 ID。
1. 選擇**建立**。您可以在資料庫清單中看到新建立的資源連結。
同樣地,您可以建立共用資料表的資源連結。
1. 現在授予您要共用資源之 IAM 主體的資源連結**描述**許可。
1. 在**資料庫/資料表**頁面上,選取資源連結,然後在**動作**功能表中選擇**授予**。
1. 在**授予許可**區段中,選取 **IAM 使用者和角色**。
1. 選擇您要授予資源連結存取權的 IAM 角色。
1. 在**資源連結**許可區段中,選取**描述**。
1. 選擇 **Grant** (授予)。
1. 接下來,將 **LF-Tag 鍵值許可**授予取用者帳戶中的主體。
您應該可以在 Lake Formation 主控台的**許可**、LF 標籤**和許可下,找到消費者帳戶中與您共用的 LF 標籤**。您可以將從授予者共用的標籤與從授予者帳戶共用的資源建立關聯,其中包括:資料庫、資料表和資料欄。您可以進一步將資源的許可授予其他委託人。
![\[畫面顯示帳戶中 LF-Tags 的許可。\]](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/lf-tag-permissions.png)
1. 在導覽窗格**的許可**、**資料許可**下,選擇**授予**。
1. 在**授予許可**頁面上,選擇 **IAM 使用者和角色**。
1. 接著,選擇您帳戶中的 IAM 使用者和角色,以授予共用資料庫/資料表的存取權。
1. 接著,針對 **LF 標籤或目錄資源**,選擇**符合 LF 標籤的資源**。
1. 接著,選擇與您共用之 LF 標籤的金鑰和值。
1. 接著,選擇您要授予 IAM 使用者和角色的資料庫和資料表許可。您也可以選擇**可授予許可**,讓 IAM 使用者和角色將許可授予其他使用者/角色。
1. 選擇 **Grant** (授予)。
1. 您可以在 Lake Formation 主控台的資料許可下檢視**許可**授予。
# 使用具名資源方法的跨帳戶資料共用
您可以直接將許可授予另一個 AWS 帳戶中的委託人,或授予外部 AWS 帳戶 或 AWS Organizations。將 Lake Formation 許可授予 Organizations 或組織單位等同於將許可授予該組織或組織單位 AWS 帳戶 中的每個單位。
當您將許可授予外部帳戶或組織時,您必須包含**可授予許可**選項。只有外部帳戶中的資料湖管理員可以存取共用資源,直到管理員將共用資源的許可授予外部帳戶中的其他主體為止。
**注意**
從外部帳戶將許可直接授予 IAM 主體時,不支援**可授予**的許可選項。
遵循 中的指示[使用具名資源方法授與資料庫許可](granting-database-permissions.md),使用具名資源方法授予跨帳戶許可。
下列影片示範如何使用 Lake Formation 與 AWS 組織共用資料。
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/S-Mdcmq6oPM?controls=0&)