基于标签的 Lake Formation - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

基于标签的 Lake Formation

基于 Lake Formation 标签的访问控制 (LF-TBAC) 与 IAM 的基于属性的访问控制 (ABAC) 配合使用,提供对数据湖资源和数据的精细访问。

注意

IAM 标签与 LF 标签不同。这些标签不可互换。LF-tag 用于授予 Lake Formation 权限,IAM 标签用于定义 IAM 策略。

什么是基于 Lake Formation 的访问控制?

基于标签的 Lake Formation (Lake Formation) 是一种授权策略,该策略基于属性来定义权限。在 Lake Formation 中,这些属性被称为LF-标签. 您可以将 LF-Tags 附加到数据目录资源、Lake Formation 承担者和表格列。您可以使用这些 LF-Tags 分配和撤销对 Lake Formation 资源的权限。Lake Formation 允许在委托人的标签与资源标签匹配时对这些资源进行操作。LF-TBAC 在快速增长的环境中非常有用,并在策略管理变得繁琐的情况下可以提供帮助。

基于标签的 Lake Formation 的访问控制与基于 IAM 的访问控制的比较

基于属性的访问控制 (ABAC) 是一种授权策略,该策略基于属性来定义权限。在 Amazon 中,这些属性称为标签。您可以将标签附加到 IAM 资源(包括 IAM 实体(用户和角色))以及 Amazon 资源。您可以为 IAM 主体创建单个 ABAC 策略或者一小组策略。这些 ABAC 策略可设计为在主体的标签与资源标签匹配时允许操作。ABAC 在快速增长的环境中非常有用,并在策略管理变得繁琐的情况下可以提供帮助。

云安全和治理团队使用 IAM 定义所有资源的访问策略和安全权限,包括 Amazon S3 存储桶、Amazon EC2 实例以及您可以通过 ARN 引用的任何资源。IAM 策略定义了对数据湖资源的广泛(粗粒度)权限,例如,允许或拒绝 Amazon S3 存储桶或前缀级别或数据库级别的访问。有关 IAM ABAC 的更多信息,请参阅什么是 ABAC 的用途Amazon?中的IAM 用户指南.

例如,您可以创建具有 project-access 标签键的三个角色。将第一个角色的标签值设置为 Dev,第二个为 Marketing,第三个为 Support。为资源分配具有适当值的标签。然后,您可以使用单个策略,在角色和资源标记了 project-access 的相同值时允许访问。

数据治理团队使用 Lake Formation 来定义对特定数据湖资源的精细权限。LF-tag 被分配给数据目录资源(数据库、表和列)并授予委托人。具有 LF 标签与资源的 LF 标签匹配的委托人可以访问该资源。Lake Formation 权限是 IAM 权限的次要权限。例如,如果 IAM 权限不允许用户访问数据湖,那么 Lake Formation 不会向该用户授予对该数据湖中任何资源的访问权限,即使委托人和资源具有匹配的 LF-Tags。

基于 Lake Formation 标签的访问控制 (LF-TBAC) 与 IAM ABAC 合作,为您的 Lake Formation 数据和资源提供额外级别的权限。

  • Lake Formation 权限随着创新扩展。它不再需要管理员更新现有策略以允许对新资源的访问。例如,假设您将 IAM ABAC 策略与project-access标签,以提供对 Lake Formation 中特定数据库的访问。使用 LF-TBAC,LF-TAGProject=SuperApp被分配给特定的表或列,并向该项目的开发人员授予相同的 LF-Tag。通过 IAM,开发人员可以访问数据库,而 LF-TBAC 权限授予开发人员进一步访问表中的特定表或列的权限。如果将新表添加到项目中,Lake Formation 管理员只需将标签分配给新表,开发人员才能获得对表的访问权限。

  • Lake Formation TBAC 需要较少的 IAM 策略。由于您使用 IAM 策略授予对 Lake Formation 资源的高级访问权限,而使用 Lake Formation TBAC 来管理更精确的数据访问权限,所以创建的 IAM 策略更少。

  • 使用 Lake Formation,团队可以更改和增长。这是因为新资源的权限根据属性自动授予。例如,如果新开发人员加入该项目,则可以通过将 IAM 角色与用户关联然后将所需的 LF-Tags 分配给用户轻松授予此开发人员访问权限。您无需更改 IAM 策略即可支持新项目或创建新的 LF-Tags。

  • 使用 Lake Formation TBAC 可以获得更精细的权限。IAM 策略授予对顶级资源(例如数据目录数据库或表)的访问权限。使用TBAC Lake Formation,您可以授予对包含特定数据值的特定表或列的访问权限。

注意

IAM 标签与 LF 标签不同。这些标签不可互换。LF-tag 用于授予 Lake Formation 权限,IAM 标签用于定义 IAM 策略。