基于湖群标签的访问控制概述 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

基于湖群标签的访问控制概述

Lake Formation 基于标签的访问控制 (LF-TBAC) 与 IAM 的基于属性的访问控制 (ABAC) 配合使用,提供对数据湖资源和数据的精细访问。

注意

IAM 标签与 LF 标签不同。这些标签不可互换。LF 标签用于授予 Lake Formation 权限,IAM 标签用于定义 IAM 策略。

什么是基于Lake Formation 标签的访问控制

LakeFormation 基于标签的访问控制(Lake Formation)是一种授权策略,该策略基于属性来定义权限。在 Lake Formation 中,这些属性被称为 LF 标签。您可以将 LF-Tags 附加到数据目录资源、Lake Formation 主体和表列。您可以使用这些 LF 标签分配和撤消对 Lake Formation 资源的权限。当委托人的标签与资源标签匹配时,Lake Formation 允许对这些资源进行操作。LF-BAC 在快速增长的环境中非常有用,并在策略管理变得繁琐的情况下可以提供帮助。

基于 LakeFormation 属性的访问控制与基于属性的访问控制的比较

基于属性的访问控制 (ABAC) 是一种授权策略,该策略基于属性来定义权限。在 Amazon 中,这些属性称为标签。您可以将标签附加到 IAM 资源(包括 IAM 实体(用户和角色))以及 Amazon 资源。您可以为 IAM 委托人创建单个 ABAC 策略或者一小组策略。这些 ABAC 策略可设计为在主体的标签与资源标签匹配时允许操作。ABAC 在快速增长的环境中非常有用,并在策略管理变得繁琐的情况下可以提供帮助。

云安全和治理团队使用 IAM 为所有资源定义访问策略和安全权限,包括 Amazon S3 存储桶、Amazon EC2 实例以及您可以通过 ARN 引用的任何资源。IAM 策略定义了对您的数据湖资源的广泛(粗粒度)权限,例如,允许或拒绝 Amazon S3 存储桶或前缀级别或数据库级别的访问。有关 IAM ABAC 的更多信息,请参阅 A BAC 的用途Amazon是什么? IAM 用户指南中。

例如,您可以创建具有 project-access 标签键的三个角色。将第一个角色的标签值设置为 Dev,第二个为 Marketing,第三个为 Support。为资源分配具有适当值的标签。然后,您可以使用单个策略,在角色和资源标记了 project-access 的相同值时允许访问。

数据治理团队使用 Lake Formation 来定义对特定数据湖资源的细粒度权限。LF-tag分配给数据目录资源,并授予委托人类型。具有与资源的 LF 标签相匹配的 LF 标签的委托人可以访问该资源。Lake Formation 权限仅次于 IAM 权限。例如,如果 IAM 权限不允许用户访问数据湖,则 Lake Formation 不会向该用户授予对该数据湖中任何资源的访问权限,即使委托人和资源具有匹配的 LF 标签。

Lake Formation 基于标签的访问控制 (LF-TBAC) 与 IAM ABAC 合作,为您的 Lake Formation 数据和资源提供更高级别的权限。

  • LakeFormation Formation 权限随着创新扩展 它不再需要管理员更新现有策略以允许对新资源的访问。例如,假设您使用带有project-access标签的 IAM ABAC 策略来提供对 Lake Formation 中特定数据库的访问权限。使用 LF-TBAC,将 LF-TagProject=SuperApp 分配给特定的表或列,并为该项目的开发人员授予相同的 LF-Tag。通过 IAM,开发人员可以访问数据库,LF-TBAC 权限授予开发人员对表中特定表或列的进一步访问权限。如果向项目中添加了新表,Lake Formation 管理员只需要为新表分配标签,开发人员就可以访问该表。

  • Lake Formation TBAC 需要的 IAM 政策更少。 由于您使用 IAM 策略授予对 Lake Formation 资源的高级访问权限,使用 Lake Formation TBAC 来管理更精确的数据访问权限,因此创建的 IAM 策略较少。

  • 使用 Lake Formation TBAC,团队可以进行更改和扩展。 这是因为新资源的权限根据属性自动授予。例如,如果有新开发者加入项目,则可以轻松地向该开发者授予访问权限,方法是将 IAM 角色关联到该用户,然后为该用户分配所需的 LF 标签。您无需更改 IAM 政策即可支持新项目或创建新的 LF 标签。

  • 使用 Lake Formation TBAC 可以获得更精细的权限。 IAM 策略授予对顶级资源的访问权限,例如数据目录数据库或表。使用 Lake Formation TBAC,您可以授予对包含特定数据值的特定表或列的访问权限。

注意

IAM 标签与 LF 标签不同。这些标签不可互换。LF 标签用于授予 Lake Formation 权限,IAM 标签用于定义 IAM 策略。