细粒度访问控制方法 - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

细粒度访问控制方法

使用数据湖,目标是对数据进行细粒度访问控制。英寸 Lake Formation,这意味着精细的访问控制 Data Catalog 资源和 Amazon S3 位置。您可以使用以下方法之一来实现细粒度访问控制。

Method Lake Formation 权限 IAM 权限 注释
方法 1 Open 细纹

这是默认方法 后向兼容性 AWS Glue.

  • 打开 意味着 Super 授予群组 IAMAllowedPrincipals,其中 IAMAllowedPrincipals 自动创建,包括任何 IAM 用户和角色 Data Catalog 资源 IAM 政策,以及 Super 权限使主体能够执行每个支持的 Lake Formation 对在其上授予的数据库或表执行的操作。这有效地导致访问 Data Catalog 资源和 Amazon S3 只能由 IAM 政策。有关更多信息,请参阅 更改DataLake的默认安全设置升级 AWS Glue 数据权限 AWS Lake Formation 型号

  • 细纹 意味着 IAM 策略控制所有访问 Data Catalog 资源和个人 Amazon S3 个桶。

在 Lake Formation 控制台,此方法显示为 仅使用IAM访问控制.

方法 2 细纹 粗粒化

这是推荐的方法。

  • 细纹 访问意味着授予有限 Lake Formation 个人承运人权限 Data Catalog 资源, Amazon S3 位置,以及这些位置的基础数据。

  • 粗粒化 意味着个人操作和访问 Amazon S3 位置。例如,粗粒 IAM 政策可能包括 "glue:*""glue:Create*" 而不是 "glue:CreateTables",离开 Lake Formation 权限控制主体是否可以创建目录对象。它还意味着让委托人能够访问 APIs 他们需要完成自己的工作,但锁定其他 APIs 和资源。例如,您可能会创建一个 IAM 使委托人能够创建 Data Catalog 资源并创建和运行工作流,但无法创建 AWS Glue 连接或用户定义的功能。请参阅本节后面的示例。

重要

请注意以下事项:

  • 依默认, Lake Formation 具有 仅使用IAM访问控制 为与现有的兼容性而启用的设置 AWS Glue Data Catalog 行为。我们建议您在过渡到使用后禁用这些设置 Lake Formation 权限。有关更多信息,请参阅更改DataLake的默认安全设置

  • 数据湖管理员和数据库创建者 Lake Formation 必须了解的权限。有关更多信息,请参阅隐含的 Lake Formation 权限