Lake Formation 访问控制概述 - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Lake Formation 访问控制概述

中的访问控制 AWS Lake Formation 分为以下两个方面:

  • 元数据访问控制 – 权限 Data Catalog 资源(Data Catalog 权限)。

    这些权限使主体能够在 Data Catalog.

  • 基础数据访问控制 – 位置权限 Amazon Simple Storage Service (人Amazon S3)(数据访问权限数据位置权限)。

    数据访问权限使主体能够将数据读取和写入底层 Amazon S3 位置。数据位置权限使主体能够创建指向特定的元数据数据库和表 Amazon S3 位置。

对于这两个领域 Lake Formation 使用 Lake Formation 权限和 AWS Identity and Access Management (人IAM)权限。的 IAM 权限模型包括 IAM 政策。的 Lake Formation 权限模型作为DBMS样式的GRANT/REVOKE命令来实现,例如 Grant SELECT on tableName to userName.

当主体提出访问请求时 Data Catalog 资源或基础数据,要使请求成功,必须同时通过 IAM 和 Lake Formation.


        请求者的请求必须s 通过两个“门”来获取资源: Lake Formation 权限和 IAM 权限。

Lake Formation 权限控制访问 Data Catalog 资源, Amazon S3 位置,以及这些位置的基础数据。 IAM 权限控制对的访问 Lake Formation 和 AWS Glue APIs 和资源。因此,虽然你可能 Lake Formation 在中创建元数据表的权限 Data Catalog (和CREATE_TABLE),如果您没有 IAM 权限 glue:CreateTable API。(为什么 glue: 权限?因为 Lake Formation 使用 AWS Glue Data Catalog。)

注意

Lake Formation 权限仅适用于授予权限的地区。