本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
设置混合访问模式 - 常见场景
与 Lake Formation 权限一样,您通常有两种类型的场景可以使用混合访问模式来管理数据访问权限:在一个场景中提供对委托人的访问权限, Amazon Web Services 账户 以及提供对外部 Amazon Web Services 账户 或委托人的访问权限。
本节提供有关在以下场景下设置混合访问模式的说明:
在混合访问模式下在一个模式下管理权限 Amazon Web Services 账户
将 Amazon Glue 资源转换为混合资源 — 您目前正在使用 Amazon S3 的 IAM 权限为账户中的所有委托人提供数据库中表的访问权限, Amazon Glue 但希望采用 Lake Formation 来逐步管理权限。
将 Lake Formation 资源转换为混合资源 — 您目前正在使用 Lake Formation 来管理账户中所有委托人对数据库中表的访问权限,但只想对特定的委托人使用 Lake Formation。您想通过对同一数据库和表使用 IAM 权限 Amazon Glue 和 Amazon S3 来提供对新委托人的访问权限。
在混合访问模式下管理跨 Amazon Web Services 账户的权限
使用混合访问模式共享 Amazon Glue 资源— 你目前没有使用 Lake Formation 来管理表格的权限,但想应用 Lake Formation 权限为其他账户的委托人提供访问权限。
使用混合访问模式共享 Lake Formation 资源— 您正在使用 Lake Formation 管理表的访问权限,但希望通过对同一数据库 Amazon Glue 和表使用 Amazon S3 的 IAM 权限为其他账户中的委托人提供访问权限。
设置混合访问模式 – 主要步骤
-
通过选择混合访问模式,在 Lake Formation 中注册 Amazon S3 数据位置。
-
主体必须拥有对数据湖位置的
DATA_LOCATION权限才能创建指向该位置的数据目录表或数据库。 -
将跨账户版本设置设置为版本 4。
向特定 IAM 用户或角色授予对数据库和表的精细权限。同时,确保为
IAMAllowedPrincipals组设置对数据库以及数据库中所有或部分表的Super或All权限。-
选择主体和资源。账户中的其他委托人可以使用针对和 Amazon S3 操作的 IAM 权限策略继续访问数据库 Amazon Glue 和表。
-
(可选)为选择使用 Lake Formation 权限的主体清除适用于 Amazon S3 的 IAM 权限策略。