跨账户权限级联 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

跨账户权限级联

当您使用 LF 标签策略在 Amazon 账户之间共享数据时,Amazon Lake Formation 可通过两个主要的委派机制启用权限级联。这些机制让使用者账户管理员可以向用户和角色授予访问权限,而无需使用创建者账户来管理每个使用者的单个权限。

  • 使用相同的 LF 标签策略进行委派:当 LF 标签策略与创建者账户用于与使用者账户共享资源的 LF 标签策略完全相同时,主体可以使用可授予的权限(PermissionsWithGrantOption)来级联权限。通过这种方式,使用者账户中的主体就可以向其账户中的其他主体授予相同的权限。

  • 使用 DESCRIBE 权限的替代委派:如果使用者账户中的主体对标签值对拥有 DESCRIBE 权限,则无需可授予的权限(PermissionsWithGrantOption)即可级联权限。只有当创建者账户和使用者账户的权限策略不同时,这种方法才有效。

了解这些委派机制对于适当的跨账户数据共享和安全管理非常重要。这些机制决定了权限如何从数据所有者流向使用者。

主题