数据筛选概览 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

数据筛选概览

借助 Lake Formation 的数据筛选功能,您可以实现以下级别的数据安全性。

列级别安全性

授予对具有列级别安全性(列筛选)的数据目录表的权限将仅允许用户查看表中他们有权访问的特定列和嵌套列。以一家大型多区域通信公司在多个应用程序中使用的 persons 表为例。通过列筛选来授予对数据目录表的权限可以限制非人力资源部门的用户查看社会保险号或出生日期等个人身份信息 (PII)。您还可以定义安全策略并仅授予对嵌套列的部分子结构的访问权限。

行级别安全性

授予对具有行级别安全性(行筛选)的数据目录表的权限将仅允许用户查看表中他们有权访问的特定行。筛选基于一列或多列值。定义行筛选条件表达式时,可以包含嵌套列结构。例如,如果通信公司的不同地区办事处都有自己的人力资源部门,则可以限制人力资源部员工可以查看的人员记录,只允许他们查看他们所在区域的员工的记录。

单元格级别安全性

单元格级别安全功能将行筛选和列筛选相结合,打造出了高度灵活的权限模型。如果您以网格形式查看表的行和列,则通过使用单元格级别安全功能,可以从两个方面限制从任意位置对网格中各个元素(单元格)的访问。也就是说,您可以根据行来限制对不同列的访问。下图阐明了这一点,其中受限制的列是带阴影的。


        显示的网格含有 5 行和 6 列。行和列具有 Col1、Col2、Row1、Row2 等标题。具有以下坐标的网格单元格带阴影:R3,C1;R3,C2;R3,C3;R5,C1;R5;C2;R5,C5;R5,C6。

继续来看 Persons 表示例,您可以在单元格级别创建数据筛选条件,如果行的国家/地区列设置为“英国”,则限制对街道地址列的访问,但如果行的国家/地区列设置为“美国”,则允许访问街道地址列。

筛选条件仅适用于读取操作。因此,您只能通过筛选条件授予 SELECT Lake Formation 权限。

嵌套列的单元格级别安全性

Lake Formation 允许您对嵌套列定义和应用具有单元格级别安全性的数据筛选条件。但是,Amazon Athena、Amazon EMR 和 Amazon Redshift Spectrum 等集成分析引擎支持对具有行级别和列级别安全性的 Lake Formation 托管嵌套表执行查询。

有关限制,请参阅数据筛选限制