本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
基于Lake Formation 标签的访问控制说明和限制
以下是基于 Lake Formation 标签的访问控制的注意事项和限制:
-
要使用基于 Lake Formation 标签的访问控制 (LF-TBAC) 来授予对数据目录资源的跨账户访问权限,需要为您的Amazon账户添加数据目录资源策略。有关更多信息,请参阅 先决条件。
-
LF 标签密钥和 LF 标签值的长度不能超过 50 个字符。
-
可以分配给数据目录资源。
-
以下限制是软限制:
-
-
可以创建的最大LF-tag数量是1000。
-
可以为 LF-tag 定义的最大值数是 1000。
-
-
标签键和值在存储时会全部转换为小写字母。
-
只能将 LF-tag 的一个值分配给特定资源。
-
如果通过一次授予向委托人授予多个 LF 标签,则委托人只能访问具有所有 LF 标签的数据目录资源。
-
Amazon GlueETL 任务需要完整的表访问权限。如果Amazon Glue ETL 角色无法访问表中的所有列,则作业将失败。可以在列级别应用 LF-Tags,但这可能会导致Amazon Glue ETL 角色失去完整的表访问权限并导致作业失败。使用数据筛选器进行列和/或行筛选不受此限制的影响。
-
如果 LF-Tag 表达式评估导致只能访问表列的子集,但是匹配时授予的 Lake Formation 权限是需要完整列访问权限的权限之一,即
ALTERDROPINSERT、DELETE、或,则不授予这些权限. 相反,只授DESCRIBE予他人。如果授予的权限为ALL(Super),则仅授予SELECT和DESCRIBE。