使用基于标签的访问控制共享数据 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用基于标签的访问控制共享数据

Amazon Lake Formation 基于标签的访问控制 (LF-TBAC) 是一种基于属性定义权限的授权策略。以下步骤说明如何使用 LF 标签授予跨账户权限。

需要在制作者/授予者账户上进行的设置

  1. 添加 LF 标签。

    1. 以数据湖管理员或 LF-Tag 创建者的身份登录 Lake Formation 控制台。

    2. 在左侧导航栏中,选择 “权限” 和 “LF 标签和权限”。

    3. 选择添加 LF 标签

      有关创建 LF 标签的详细说明,请参阅。创建 LF 标签

  2. 向您的账户或外部账户中的 IAM 委托人授予描述和/或关联权限 LF-Tag 键值对。

    授予 LF-Tag 键值对的权限使委托人能够查看 LF 标签,并将其分配给数据目录资源(数据库、表和列)。

  3. 接下来,数据湖管理员或具有 Associate 权限的 IAM 委托人可以将 LF-Tag 分配给数据库、表或列。有关更多信息,请参阅 将 LF 标签分配给数据目录资源

  4. 接下来,使用 LF-Tag 表达式向外部账户授予数据权限。这使被授权者或接收者能够访问使用相同密钥和值标记的数据目录资源。

    1. 在导航窗格中,选择权限数据权限

    2. 选择授权

    3. 授予权限页面上,对于委托人,选择外部账户,然后输入委托人 Amazon Web Services 账户 ID 或委托人的 IAM 角色,或者如果直接向外部委托人进行跨账户授权,则输入委托人(委托人 ARN)的 Amazon 资源名称 (ARN)。输入账户 ID 后,您需要按 Enter

      授予权限屏幕,其中指定了外部账户和 LF-Tag 键值对。

    4. 对于 LF 标签或目录资源,请选择 LF 标签匹配的资源(推荐)。

      1. 选择 LF-Tag 键值对或已保存的 LF- Tag 表达式选项。

      2. 如果您选择 LF-Tag 键值对,请输入与被授权者账户共享的数据目录资源关联的 LF-Tag 的键和值

        被授权者被授予对在 LF-Tag 表达式中分配了匹配的 LF-Tag 的数据目录资源的权限。如果 LF-Tag 表达式为每个标签键指定多个值,则任何一个标签值都可以匹配。

    5. 选择要授予与 LF-Tag 表达式匹配的资源的数据库级或表级权限。

      重要

      由于数据湖管理员必须向被授权者账户中的委托人授予共享资源的权限,因此您必须始终使用授权选项授予跨账户权限。

      有关更多信息,请参阅 使用控制台授予 LF 标签权限

      注意

      对于获得直接跨账户授权的主体,将不提供可授予的权限选项。

需要在接收/被授予者账户上进行的设置

  1. 以消费者账户的数据湖管理员身份登录 Lake Formation 控制台。

  2. 接下来,在消费者账户中接收资源共享。

    1. 打开控制 Amazon RAM 台。

    2. 在导航窗格的 “与我共享” 下,选择资源共享

    3. 选择资源共享,选择接受资源共享

  3. 当您与其他账户共享资源时,该资源仍属于制作者账户,并且在 Athena 控制台中不可见。要使资源在 Athena 控制台中可见,您需要创建一个指向共享资源的资源链接。有关创建资源链接的说明,请参阅创建指向共享数据目录表的资源链接创建指向共享数据目录数据库的资源链接

    1. 在数据目录下选择数据库

    2. 在数据库/表页面上,选择创建,资源链接

    3. 为数据库资源链接输入以下信息:

      • 资源链接名称-资源链接的唯一名称。

      • 目标目录-您要在其中创建资源链接的目录。

      • 共享数据库区域-如果您在其他区域创建资源链接,则与您共享的数据库区域。

      • 共享数据库-选择共享数据库。

      • 共享数据库的目录 ID-输入共享数据库的目录 ID。

    4. 选择创建。您可以在数据库列表中看到新创建的资源链接。

    同样,您可以创建指向共享表的资源链接。

  4. 现在,向正在共享资源的 IAM 委托人授予对资源链接的 “描述” 权限。

    1. 在 “数据库/表” 页面上,选择资源链接,然后在 “操作” 菜单上选择 “授权”。

    2. 授予权限部分中,选择 IAM 用户和角色

    3. 选择您要向其授予资源链接访问权限的 IAM 角色。

    4. 资源链接权限部分,选择描述

    5. 选择授权

  5. 接下来,向消费者账户中的委托人授予 LF-Tag 键值权限

    你应该能够在 Lake Formation 控制台的消费者账户的 “权限”、“LF 标签和权限” 下找到与你共享的 LF 标签。您可以将授权人共享的标签关联到从授权人帐户共享的资源上,这些资源包括:数据库、表和列。您可以进一步向其他委托人授予对资源的权限。

    屏幕显示账户中 LF-Tags 的权限。

    1. 在导航窗格的 “权限”、“数据权限” 下,选择 “授予”。

    2. 授予权限页面上,选择 IAM 用户和角色

    3. 接下来,选择账户中的 IAM 用户和角色以授予对共享数据库/表的访问权限。

    4. 接下来,对于 LF 标签或目录资源,选择 LF 标签匹配的资源

    5. 接下来,选择与您共享的 LF-Tag 的密钥和值。

    6. 接下来,选择要授予 IAM 用户和角色的数据库和表权限。您也可以选择允许IAM用户和角色向其他用户/角色授予权限的可授予权限。

    7. 选择授权

    8. 您可以在 Lake Formation 控制台的 “数据权限” 下查看权限授予。