本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Lake Formation 访问控制概述
中的细控制Amazon Lake Formation,分为以下两个区域:
-
元数据访问控制-数据目录资源的权限(数据目录权限)。
这些权限使校长能够在数据目录中创建、读取、更新和删除元数据数据库和表。
-
底层数据访问控制 — 对亚马逊Simple Storage Service (Amazon S3) 中位置的权限(数据访问权限和数据位置权限)。
-
数据访问权限使委托人能够读取和写入数据到底层 Amazon S3 位置,即数据目录资源指向的数据。
-
数据位置权限使校长能够创建和更改指向特定 Amazon S3 位置创建和更改。
-
对于这两个区域,Lake Formation 同时使用Lake Formation 权限和Amazon Identity and Access Management (IAM) 权限。IAM 权限模型由 IAM 策略组成。Lake Formation 权限模型是以 DBMS 风格的 GRANT/REVOKE 命令实现的,例如Grant SELECT on
tableName to userName
。
当委托人请求访问数据目录资源或基础数据时,请求要成功,必须通过 IAM 和 Lake Formation 的权限检查。

Lake Formation 权限控制对数据目录资源、Amazon S3 位置控制访问。IAM 权限控制对 Lake Formation 以及Amazon Glue API 及资源的访问。因此,尽管您可能拥有在数据目录(CREATE_TABLE
)中创建元数据表的 Lake Formation 权限,但如果没有glue:CreateTable
API 的 IAM 权限,您的操作将失败。(为什么要获得glue:
许可? 因为 Lake Formation 使用Amazon Glue数据目录。)
注意
Lake Formation 许可仅适用于获得许可的地区。