Lake Formation 访问控制概述 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Lake Formation 访问控制概述

中的访问控制Amazon Lake Formation分为以下两个方面:

  • 元数据访问控制— 数据目录资源的权限 (数据目录权限)。

    使用这些权限,承担者可以在数据目录中创建、读取、更新和删除元数据库和表。

  • 基本数据访问控制— Amazon Simple Storage Service (Amazon S3) 中的位置权限 (数据访问权限数据位置权限)。

    • 使用数据访问权限,授予委托人读取和写入数据隐含的Amazon S3 位置 — 数据目录资源指向的数据。

    • 使用数据位置权限,委托人可以创建和更改指向特定 Amazon S3 位置的元数据库和表。

对于这两个区域,Lake Formation 都使用 Lake Formation 权限和Amazon Identity and Access Management(IAM) 权限。IAM 权限模型由 IAM 策略组成。Lake Formation 权限模型作为 DBMS 风格的 GRANT/REVOKE 命令实现,例如Grant SELECT on tableName to userName.

当委托人请求访问数据目录资源或底层数据时,请求才能成功,必须通过 IAM 和 Lake Formation 的权限检查。


        申请者的请求必须通过两个 “门” 才能获得资源:Lake Formation 权限和 IAM 权限。

Lake Formation 权限控制对数据目录资源、Amazon S3 位置以及这些位置的底层数据的访问权限。IAM 权限控制对 Lake Formation 的访问权限和Amazon GlueAPI 和资源。因此,尽管您可能拥有 Lake Formation 的权限,可以在数据目录中创建元数据表(CREATE_TABLE),如果您没有 IAM 权限,则操作将失败glue:CreateTableAPI。(为什么选择glue:允许? 因为 Lake Formation 使用Amazon Glue数据目录。

注意

Lake Formation 权限仅适用于授予这些权限的地区。