本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 跨區域存取資料表
Lake Formation 支援跨 AWS 區域查詢 Data Catalog 資料表。您可以使用 Amazon Athena、Amazon EMR 和 AWS Glue ETL 從其他區域存取區域中的資料,方法是在其他區域中[建立指向來源資料庫和資料表的資源連結](creating-resource-links.md)。透過跨區域資料表存取,您可以跨區域存取資料,而無需將基礎資料或中繼資料複製到 Data Catalog。
例如,您可以將生產者帳戶中的資料庫或資料表共用給區域 A 中的取用者帳戶。接受區域 A 中的資源共用邀請後,取用者帳戶的資料湖管理員可以建立區域 B 中共用資源的資源連結。取用者帳戶管理員可以將共用資源的許可授予該帳戶 A 中的 IAM 主體,並授予區域 B 中的資源連結許可。使用資源連結,取用者帳戶中的主體可以從區域 B 查詢共用資料。
您也可以在生產者帳戶中的區域 A 中託管 Amazon S3 資料來源,並在區域 B 的中央帳戶中註冊資料位置。您可以在中央帳戶中建立 Data Catalog 資源、設定 Lake Formation 許可,以及與帳戶中的取用者或區域 B 的外部帳戶共用資料。跨區域功能允許使用者使用資源連結從區域 C 存取這些資料目錄資料表。
使用此功能,您可以在跨區域的 Apache Hive 中繼存放區中查詢聯合資料庫,也可以在執行查詢時將本機區域中的資料表與另一個區域中的資料表聯結。
Lake Formation 支援具有跨區域資料表存取權的下列功能:
+ LF 標籤型存取控制
+ 精細存取控制許可
+ 在具有適當許可的共用資料庫或資料表上寫入操作
+ 在帳戶層級跨帳戶資料共用,並使用 IAM 委託人層級直接共用
具有 `Create_Database`和 `Create_Table`許可的非管理使用者可以建立跨區域資源連結。
**注意**
您可以在任何區域中建立跨區域資源連結並存取資料,而無需套用 Lake Formation 許可。對於未向 Lake Formation 註冊的 Amazon S3 中的來源資料,存取權取決於 Amazon S3 的 IAM 許可政策和 AWS Glue 動作。
如需限制的詳細資訊,請參閱[跨區域資料存取限制](x-region-considerations.md)。
## 工作流程
下圖顯示從相同 AWS 帳戶和外部帳戶跨 AWS 區域存取資料的工作流程。
### 存取相同 AWS 帳戶中共用資料表的工作流程
在下圖中,資料會與美國東部 (維吉尼亞北部) 區域中相同 AWS 帳戶中的使用者共用,而使用者會從歐洲 (愛爾蘭) 區域查詢共用資料。
資料湖管理員執行下列活動 (步驟 1-2):
1. 資料湖管理員使用 Data Catalog 資料庫和資料表設定 AWS 帳戶,並在美國東部 (維吉尼亞北部) 區域向 Lake Formation 註冊 Amazon S3 資料位置。
將 Data Catalog 資源 (圖表中的產品資料表) 的`Select`許可授予相同帳戶中的委託人 (使用者)。
1. 在歐洲 (愛爾蘭) 區域中建立指向美國東部 (維吉尼亞北部) 區域中來源資料表的資源連結。`DESCRIBE` 准許從歐洲 (愛爾蘭) 區域到委託人的資源連結。
1. 使用者使用 Athena 從歐洲 (愛爾蘭) 區域查詢資料表。
### 存取與外部 AWS 帳戶共用之資料表的工作流程
在下圖中,生產者帳戶 (帳戶 A) 託管 Amazon S3 儲存貯體、註冊資料位置,以及與美國東部 (維吉尼亞北部) 區域中的取用者帳戶 (帳戶 B) 和取用者帳戶 (帳戶 B) 的使用者共用資料目錄資料表,查詢來自歐洲 (愛爾蘭) 區域的資料表。
1. 資料湖管理員使用 Data Catalog 資源設定 AWS 帳戶 (生產者帳戶),以及在美國東部 (維吉尼亞北部) 區域向 Lake Formation 註冊的 Amazon S3 資料位置。
1. 生產者帳戶的資料湖管理員會將 Data Catalog 資料表分享給取用者帳戶。
1. 消費者帳戶的資料湖管理員接受美國東部 (維吉尼亞北部) 區域中的資料共用邀請,並將共用資料表的`Select`許可授予相同區域的委託人。
1. 消費者帳戶的資料湖管理員在歐洲 (愛爾蘭) 區域中建立指向美國東部 (維吉尼亞北部) 區域中目標共用資料表的資源連結,並授予來自歐洲 (愛爾蘭) 區域資源連結的使用者`DESCRIBE`許可。
1. 使用者使用 Athena 查詢來自歐洲 (愛爾蘭) 區域的資料。