Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
精细细细细细细细细细细细细细控制
对于数据湖,目标是实现对数据的精细访问控制。在 Lake Formation 中,这意味着对数据目录资源和 Amazon S3 位置进行精细的访问控制。您可以使用以下方法之一实现精细细细控制。
| 方法 |
Lake Formation orm |
IAM 权限 |
注释 |
| 方法 1 |
Open(打开) |
精细细细细细细 |
这是向后兼容的默认方法Amazon Glue。
-
开放意味着向群组授予特殊权限Super,该群组IAMAllowedPrincipalsIAMAllowedPrincipals是自动创建的,包括您的 IAM 策略允许访问您的数据目录资源的任何 IAM 用户和角色,并且该Super权限允许委托人对被授予该权限的数据库或表执行所有支持的 Lake Formation 操作。这实际上导致对数据目录资源和 Amazon S3 位置的访问完全由 IAM 策略控制。有关更多信息,请参阅 更改数据湖的默认安全设置 和 升级Amazon Glue的数据权限Amazon Lake Formation模型。
-
细粒度意味着 IAM 策略控制对数据目录资源和单个 Amazon S3 存储段的所有访问权限。
在 Lake Formation 控制台上,此方法显示为仅使用 IAM 访问控制。
|
| 方法 2 |
精细细细细细细 |
粗粒 |
这是推荐的方法。
-
精细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细细
-
粗粒度意味着对单个操作和 Amazon S3 站点的访问权限更广。例如,粗粒度的 IAM 策略可能包括"glue:*"或不"glue:Create*"是,让 Lake Formation 权限来控制委托人是否可以创建目录对象。"glue:CreateTables"这也意味着允许校长访问他们完成工作所需的 API,但要锁定其他 API 和资源。例如,您可以创建一个 IAM 策略,允许委托人创建 Data Catalog 资源以及创建和运行工作流程,但不允许创建Amazon Glue连接或用户定义函数。请参阅本部分后面的示例。
|
请注意以下事项:
-
默认情况下,Lake Formation 启用了 “仅使用 IAM 访问控制” 设置,以兼容现有Amazon Glue的数据目录行为。我们建议您在过渡到使用 Lake Formation 权限后禁用这些设置。有关更多信息,请参阅更改数据湖的默认安全设置:
-
数据湖管理员和数据库创建者拥有隐含的 Lake Formation 权限,您必须了解这些权限。有关更多信息,请参阅ALake Formation ion: