跨账户权限级联 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨账户权限级联

当您使用 LF-Tag 策略跨 Amazon 账户共享数据时, Amazon Lake Formation 可通过两个主要的委托机制启用权限级联。这些机制允许消费者账户管理员向用户和角色授予访问权限,而无需创建者账户管理每个消费者的个人权限。

  • 使用相同的 LF-Tag 策略进行委托 — 当 LF-Tag 策略与生产者账户用于与消费者账户共享资源的 LF-Tag 策略完全相同时,委托人可以使用可授予权限 () 来级联权限。PermissionsWithGrantOption这允许消费者账户中的委托人向其账户中的其他委托人授予相同的权限。

  • 使用DESCRIBE权限的替代委托 — 如果消费者账户中的委托人拥有标签值对的 DESCRIBE 权限,则无需授予权限 (PermissionsWithGrantOption) 即可级联权限。只有当生产者账户和消费者账户的权限策略不同时,这种方法才有效。

了解这些委托机制对于适当的跨账户数据共享和安全管理非常重要。它们决定权限如何从数据所有者流向消费者。

主题