Lake Formation 权限概述 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Lake Formation 权限概述

Amazon Lake Formation中有两种主要类型的权限:

  • 元数据访问权限 - 对数据目录资源的权限(数据目录权限)。

    这些权限使主体能够创建、读取、更新和删除数据目录中的元数据数据库和表。

  • 基础数据访问- Amazon Simple Storage Service (Amazon S3)中位置的权限(数据访问权限数据位置权限)。

    • 数据湖权限使主体能够在基础 Amazon S3 位置中读取和写入数据,即数据目录资源指向的数据。

    • 数据位置权限使主体能够创建和更改指向特定 Amazon S3 位置的元数据数据库和表。

对于这两个区域,Lake Formation 都使用了 Lake Formation 权限和 Amazon Identity and Access Management (IAM) 权限的组合。IAM 权限模型由 IAM 策略组成。Lake Formation 权限模型是作为 DBMS 样式的 GRANT/REVOKE 命令实现的,例如 Grant SELECT on tableName to userName

当主体请求访问数据目录资源或基础数据时,请求必须通过 IAM 和 Lake Formation 的权限检查才能成功。

请求者的请求必须通过两扇“门”才能访问资源:Lake Formation 权限和 IAM 权限。

Lake Formation 权限控制对数据目录资源、Amazon S3 位置以及这些位置的基础数据的访问。IAM 权限控制对 Lake Formation 和 Amazon Glue API 及资源的访问。因此,尽管您可能具有在数据目录 (CREATE_TABLE) 中创建元数据表的 Lake Formation 权限,但如果您不具有对 glue:CreateTable API 的 IAM 权限,您的操作将失败。(为什么需要 glue: 权限?因为 Lake Formation 使用 Amazon Glue Data Catalog。)

注意

Lake Formation 权限仅适用于被授予这些权限的区域。

Amazon Lake Formation 要求授权每个委托人(用户或角色)对 Lake Formation 托管资源执行操作。主体由数据湖管理员或其他有权授予 Lake Formation 权限的主体授予必要的授权。

当您向主体授予 Lake Formation 权限时,您可以选择授予将该权限传递给其他主体的能力。

你可以使用 Lake Formation API、 Amazon Command Line Interface (Amazon CLI) 或 Lake Formation 控制台的数据权限和数据位置页面来授予和撤销 Lake Formation 权限。