基于标签的 Lake Formation - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

基于标签的 Lake Formation

以下是基于 Lake Formation 标签的访问控制的注释和限制:

  • 使用基于 Lake Formation 标签的访问控制 (LF-TBAC) 授予对数据目录资源的跨账户访问权限,需要为您的数据目录资源策略添加Amazonaccount. 有关更多信息,请参阅 基 Lake Formation 标签的访问控制跨账户先决条件

  • LF-tag 键的长度不能超过 128 个字符。每个 LF-tag 值的最长长度可包括 256 个字符。

  • 可以分配给数据目录资源的 LF 标签的最大数量为 50 个。

  • 以下限制是软限制:

    • 可以创建的 LF 标签的最大数量为 1000 个。

    • 可以为 LF-Tag 定义的最大值数是 15 个。

  • 标签键和值在存储时将其转换为全部小写字母。

  • 只能将 LF-tag 的一个值分配给特定资源。

  • 如果通过一次授权向委托人授予多个 LF 标签,则委托人只能访问具有所有 LF-Tags 的数据目录资源。

  • Amazon GlueETL 作业需要完全表访问权限,因此只有数据库和表上的 LF 标签才适用。如果作业处理的任何表在列上有 LF-Tags,则作业将失败。

  • 如果 LF-tag 表达式评估结果只能访问表列的子集,但是在匹配项时授予的 Lake Formation 权限是需要完整列访问权限的权限之一,即ALTERDROPINSERT,或者DELETE,那么这些权限都没有被授予。相反,DESCRIBE被授权。如果授予的权限是ALL(Super),那么只SELECTDESCRIBE被授予。

  • 支持向 LF-Tags 授予跨账户权限,但仅适用于授予外部Amazon账户,而不是组织或组织单位。