本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
基于属性的访问控制
在 Amazon Lake Formation 中,您可以使用属于 IAM 标签的属性以及与 IAM 实体(例如角色和用户)关联的会话标签,授予对目录、数据库、表和数据筛选器等 Amazon Glue Data Catalog 对象的访问权限。
有关使用会话标签的更多信息,请参阅用户指南中的 assume-
基于属性的访问控制 (ABAC) 是一种基于属性定义权限的授权策略。 Amazon 调用这些属性标签。您可以使用 ABAC 向同一账户或其他账户中的委托人授予对数据目录资源的访问权限。任何具有匹配的 IAM 标签或会话标签密钥和值的 IAM 委托人都可以访问该资源。您必须对资源拥有可授予的权限才能进行这些授权。
ABAC 允许您同时向多个用户授予访问权限。当新用户加入组织时,可以根据其属性(例如工作职能或部门)自动确定他们对数据的访问权限,而无需管理员手动分配特定的角色或权限。通过使用属性代替角色,ABAC 提供了一种更加简化和可维护的方法来管理不同系统和环境中的数据访问,最终增强数据治理和合规性。
有关定义属性的更多信息,请参阅使用 ABAC 授权基于属性定义权限。
有关限制、注意事项和支持的 Amazon 区域的信息,请参阅基于属性的访问控制注意事项、限制和支持的区域。