Associer une unité de partage des données à un autre Compte AWS dans Amazon Redshift - Amazon Redshift

Amazon Redshift ne prendra plus en charge la création de nouvelles fonctions Python définies par l’utilisateur à compter du 1er novembre 2025. Si vous souhaitez utiliser des fonctions Python définies par l’utilisateur, créez-les avant cette date. Les fonctions Python définies par l’utilisateur existantes continueront de fonctionner normalement. Pour plus d’informations, consultez le billet de blog .

Associer une unité de partage des données à un autre Compte AWS dans Amazon Redshift

Avec Amazon Redshift, vous pouvez associer des unités de partage des données partagées par un autre Comptes AWS, ce qui permet un partage de données fluide et sécurisé au-delà des frontières organisationnelles. Les unités de partage des données sont des objets de base de données partageables qui encapsulent les données d’une ou de plusieurs bases de données Amazon Redshift. Les sections suivantes illustrent le processus d’association d’unités de partage des données.

Console

En tant qu’administrateur consommateur, vous pouvez associer une ou plusieurs unités de partage des données partagées à partir d’autres comptes à l’ensemble de votre compte AWS (prévisualisation) ou à des espaces de noms spécifiques dans votre compte.

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon Redshift à l’adresse https://console.aws.amazon.com/redshiftv2/.

  2. Dans le menu de navigation, choisissez Datashares. La page de liste d’unités de partage des données s’affiche. Sélectionnez À partir d’autres comptes.

  3. Dans la section Datashares from other accounts (Unités de partage des données provenant d'autres comptes), choisissez l'unité de partage des données que vous souhaitez associer, puis choisissez Associate (Associer). Lorsque la page Associer une unité de partage des données apparaît, choisissez l’un des types d’association suivants :

    • Choisissez Compte AWS entier pour associer tous les espaces de noms existants et futurs entre différentes régions AWS de votre compte AWS avec l’unité de partage des données.

    • Si l’unité de partage des données est publiée sur le AWS Glue Data Catalog, vous ne pouvez associer l’unité de partage des données qu’à l’ensemble du compte AWS.

  4. À partir de là, vous pouvez choisir Autorisations acceptées. Les choix sont les suivants :

    • Lecture seule : si vous choisissez cette option, les autorisations d’écriture comme UPDATE ou INSERT ne sont pas disponibles pour le consommateur, même si ces autorisations ont été accordées et autorisées par le producteur.

    • Lecture et écriture : les utilisateurs de l’unité de partage des données consommateur disposeront de toutes les autorisations, à la fois en lecture et en écriture, accordées et autorisées par le producteur.

  5. Sinon, choisissez Régions AWS et espaces de noms spécifiques pour associer un ou plusieurs espaces de noms et régions AWS spécifiques à l’unité de partage des données. Choisissez Ajouter une région pour ajouter des régions AWS et des espaces de noms spécifiques à l’unité de partage des données. La page Ajouter une région AWS s’affiche.

  6. Choisissez une région AWS.

  7. Effectuez l’une des actions suivantes :

    • Choisissez Ajouter tous les espaces de noms pour ajouter tous les espaces de noms existants et futurs de cette région à l’unité de partage des données.

    • Choisissez Ajouter des espaces de noms spécifiques pour ajouter un ou plusieurs espaces de noms spécifiques à l’unité de partage des données.

    • Choisissez un ou plusieurs espaces de noms et choisissez Ajouter une région AWS.

  8. Choisissez Associer.

Il est possible pour le producteur de revenir en arrière et de modifier les paramètres d’une autorisation, ce qui peut affecter les paramètres d’association des consommateurs.

Si vous associez l’unité de partage des données à un compte Lake Formation, accédez à la console Lake Formation pour créer une base de données, puis définissez les autorisations sur la base de données. Pour plus informations, consultez Configuration des autorisations pour les unités de partage des données d’Amazon Redshift dans le Guide du développeur AWS Lake Formation. Une fois que vous avez créé une base de données AWS Glue ou une base de données fédérée, vous pouvez utiliser l’éditeur de requêtes v2 ou n’importe quel client SQL préféré avec votre cluster consommateur pour interroger les données.

Une fois l’unité de partage des données associée, les unités de partage des données deviennent disponibles.

Note

Vous pouvez également modifier l’association d’unité de partage des données à tout moment. Lorsque vous passez d’une association de régions AWS et d’espaces de noms spécifiques au compte AWS entier, Amazon Redshift écrase les informations de la région et des espaces de noms spécifiques par les informations du compte AWS. Toutes le régions AWS et espaces de noms dans le Compte AWS ont ensuite accès à l’unité de partage des données.

API
Note

Les étapes décrites dans cette section sont exécutées une fois que l’administrateur producteur a autorisé des actions spécifiques sur les objets de base de données partagés et que, si l’unité de partage des données est partagée avec un autre compte, l’administrateur de sécurité producteur autorise l’accès.

L’administrateur de sécurité producteur détermine les éléments suivants :

  • Si tous les espaces de noms d’un compte, des régions spécifiques du compte ou espaces de noms spécifiques ont accès à l’unité de partage des données.

  • Si les espaces de noms ont accès à l’unité de partage des données, qu’ils disposent ou non d’autorisations d’écriture.

L’administrateur consommateur de la sécurité peut associer l’unité de partage des données à l’aide de la commande suivante :

associate-data-share-consumer
--data-share-arn <value>
--consumer-identifier <value>
[--allow-writes | --no-allow-writes]

Pour obtenir plus d’informations sur la commande, consultez associate-data-share-consumer.

L’administrateur de la sécurité consommateur doit définir explicitement la valeur allow-writes à true lorsqu’il associe une unité de partage des données à un espace de noms, afin de permettre l’utilisation des commandes INSERT et UPDATE. Dans le cas contraire, les utilisateurs ne peuvent effectuer que des opérations de lecture, comme les privilèges SELECT, USAGE ou EXECUTE.

Vous pouvez modifier l’association d’un espace de noms pour une unité de partage des données en appelant associate-data-share-consumer à nouveau, avec une valeur différente. L’ancienne association est remplacée par la nouvelle. Ainsi, si à l’origine vous avez associé et défini allow-writes, puis que vous associez et spécifiez no-allow-writes, ou ne spécifiez simplement pas de valeur, le consommateur verra ses autorisations d’écriture révoquées.