更改DataLake的默认安全设置 - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更改DataLake的默认安全设置

保持与的向后兼容性 AWS Glue, AWS Lake Formation 具有以下初始安全设置:

  • Super 授予组权限 IAMAllowedPrincipals 所有现有 AWS Glue Data Catalog 资源。

  • “仅使用IAM访问控制”设置已针对新 Data Catalog 资源。

这些设置有效地导致访问 Data Catalog 资源和 Amazon S3 只能由 AWS Identity and Access Management (人IAM)政策。个人 Lake Formation 权限无效。

IAMAllowedPrincipals 组包括任何 IAM 用户和角色 Data Catalog 资源 IAM 政策。的 Super 权限使主体能够执行每个支持的 Lake Formation 对在其上授予的数据库或表执行的操作。

更改安全设置,以便访问 Data Catalog 资源(数据库和表格)由 Lake Formation 权限,请执行以下操作:

  1. 更改新资源的默认安全设置。有关说明,请参阅变更 Data Catalog 设置

  2. 更改现有 Data Catalog 资源。有关说明,请参阅升级 AWS Glue 数据权限 AWS Lake Formation 型号

使用更改默认安全设置 Lake Formation PutDataLakeSettings API操作

您也可以通过使用 Lake Formation PutDataLakeSettings 操作(Python:put_data_lake_settings). 此操作将可选目录ID和 DataLakeSettings结构.

通过以下方式执行元数据和底层数据访问控制 Lake Formation 在新数据库和表格上,对 DataLakeSettings 结构如下。

注意

Replace <AccountID> 有效 AWS 帐户ID和 <Username> 有效 IAM 用户名。您可以将多个用户指定为数据湖管理员。

{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>" } ], "CreateDatabaseDefaultPermissions": [], "CreateTableDefaultPermissions": [] } }

您还可以按如下方式对结构进行编码。忽略 CreateDatabaseDefaultPermissionsCreateTableDefaultPermissions 参数相当于传递空列表。

{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>" } ] } }

此操作将有效撤销所有 Lake Formation 权限 IAMAllowedPrincipals 对新数据库和表格进行分组。

要执行元数据和基础数据访问控制,仅通过 IAM 在新数据库和表格上,对 DataLakeSettings 结构如下。

{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>" } ], "CreateDatabaseDefaultPermissions": [ { "Principal": { "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS" }, "Permissions": [ "ALL" ] } ], "CreateTableDefaultPermissions": [ { "Principal": { "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS" }, "Permissions": [ "ALL" ] } ] } }

这将使 Super Lake Formation 许可 IAMAllowedPrincipals 对新数据库和表格进行分组。