本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
基于属性的访问控制
在 Amazon Lake Formation 中,您可以使用属于 IAM 标签的属性以及与 IAM 实体(例如角色和用户)关联的会话标签,授予对目录、数据库、表和数据筛选器等 Amazon Glue Data Catalog 对象的访问权限。
有关使用会话标签的更多信息,请参阅用户指南中的 assume-
基于属性的访问控制 (ABAC) 是一种基于属性定义权限的授权策略。 Amazon 调用这些属性标签。您可以使用 ABAC 向同一账户或另一个账户中的主体授予对 Data Catalog 资源的访问权限。具有匹配 IAM 标签或会话标签键和值的任何 IAM 主体都可以获得资源的访问权限。您必须对资源拥有可授予的权限才能进行这些授予。
借助 ABAC,您可以同时向多个用户授予访问权限。当新用户加入组织时,可以根据其属性(例如工作职能或部门)自动确定他们对数据的访问权限,而无需管理员手动分配特定的角色或权限。通过使用属性,而不使用角色,ABAC 提供了一种更精简、更易维护的方式来管理不同系统和环境中的数据访问权限,最终增强数据治理和合规性。
有关定义属性的更多信息,请参阅使用 ABAC 授权根据属性定义权限。
有关限制、注意事项和支持的 Amazon 区域的信息,请参阅基于属性的访问控制注意事项、限制和支持的区域。