Lake Formation 权限概述 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Lake Formation 权限概述

中有两种主要的权限类型Amazon Lake Formation:

  • 元数据访问权限-数据目录资源的权限(数据目录权限)。

    这些权限使委托人能够在数据目录中创建、读取、更新和删除元数据数据库和表。

  • 底层数据访问-Amazon Simple Storage Service(Amazon S3)中位置的权限(数据访问权限数据位置权限)。

    • 数据湖权限使委托人能够读取和写入数据到底层 Amazon S3 位置,即数据目录资源指向的数据。

    • 数据位置权限使委托人能够创建和更改指向特定 Amazon S3 位置的元数据数据库和表。

对于这两个区域,Lake Formation 都使用了 Lake Formation 权限和 Amazon Identity and Access Management (IAM) 权限的组合。IAM 权限模型由 IAM 策略组成。Lake Formation 权限模型是作为 DBMS 风格的 GRANT/REVOKE 命令实现的,例如。Grant SELECT on tableName to userName

当委托人请求访问数据目录资源或基础数据时,请求必须通过 IAM 和 Lake Formation 的权限检查才能成功。

请求者的请求必须通过两个 “门” 才能访问资源:Lake Formation 权限和 IAM 权限。

Lake Formation 权限控制对数据目录资源、Amazon S3 位置以及这些位置的基础数据的访问。IAM 权限控制对 Lake Formation 以及 Amazon Glue API 和资源的访问权限。因此,尽管您可能拥有 Lake Formation 权限在数据目录 (CREATE_TABLE) 中创建元数据表,但如果您没有 glue:CreateTable API 的 IAM 权限,则操作将失败。(为什么是glue:许可? 因为 Lake Formation 使用Amazon Glue数据目录。)

注意

Lake Formation 权限仅适用于授予这些权限的区域。

Amazon Lake Formation要求授权每个委托人(用户或角色)对 Lake Formation 托管资源执行操作。数据湖管理员或其他有权授予 Lake Formation 权限的委托人向委托人授予必要的授权。

当您向委托人授予 Lake Formation 权限时,您可以选择授予将该权限传递给其他委托人的权限。

你可以使用 Lake Formation API、Amazon Command Line Interface (Amazon CLI) 或 Lake Formation 控制台的数据权限和数据位置页面来授予和撤销 Lake Formation 权限。