精细访问控制的方法 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

精细访问控制的方法

使用数据湖,目标是对数据进行精细的访问控制。在 Lake Formation 中,这意味着对数据目录资源和 Amazon S3 位置的精细访问控制。您可以使用以下方法之一实现精细访问控制。

方法 Lake Formation 权限 IAM 权限 注释
方法 1 Open(打开) 精细

这是默认方法为了获得向后兼容性Amazon Glue.

  • 打开意味着特殊许可Super被授予该组IAMAllowedPrincipals其中,IAMAllowedPrincipals将自动创建并包括 IAM 策略允许访问数据目录资源的任何 IAM 用户和角色,以及Super权限使委托人能够在授予该操作的数据库或表上执行所有受支持的 Lake Formation 操作。这实际上导致对数据目录资源和 Amazon S3 位置的访问完全由 IAM 策略控制。有关更多信息,请参阅更改数据湖的默认安全设置升级Amazon Glue的数据权限Amazon Lake Formation模型

  • 精细意味着 IAM 策略控制对数据目录资源和单个 Amazon S3 存储桶的所有访问权限。

在 Lake Formation 控制台上,此方法显示为仅使用 IAM 访问控制.

方法 2 精细 粗粒度

这是推荐的方法。

  • 精细访问意味着向个别委托人授予数据目录资源、Amazon S3 位置以及这些位置中的底层数据的有限 Lake Formation 权限。

  • 粗粒度意味着对单个操作和访问 Amazon S3 位置的更广泛的权限。例如,粗粒度的 IAM 策略可能包括"glue:*"要么"glue:Create*"而不是"glue:CreateTables",将 Lake Formation 留下控制委托人是否可以创建目录对象的权限。这还意味着允许委托人访问他们完成工作所需的 API,但会锁定其他 API 和资源。例如,您可以创建一个 IAM 策略,使委托人能够创建数据目录资源以及创建和运行工作流程,但不启用创建Amazon Glue连接或用户定义的函数。请参阅本部分后面的示例。

重要

请注意以下事项:

  • 默认情况下,Lake Formation 具有仅使用 IAM 访问控制为与现有的兼容性启用了设置Amazon Glue数据目录行为。我们建议您在过渡到使用 Lake Formation 权限后禁用这些设置。有关更多信息,请参阅 更改数据湖的默认安全设置

  • 数据湖管理员和数据库创建者拥有您必须了解的隐式 Lake Formation 权限。有关更多信息,请参阅 隐含 Lake Formation