使用基于 Lake Formation 标签的访问控制来管理数据湖 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用基于 Lake Formation 标签的访问控制来管理数据湖

成千上万的客户正在建立 PB 级数据湖Amazon. 其中许多客户使用Amazon Lake Formation以便在整个组织中轻松构建和共享他们的数据湖。随着表和用户数量的增加,数据管理员和管理员正在寻找方法来轻松地大规模管理数据湖上的权限。基于 Lake Formation Tag 的访问控制 (LF-TBAC) 通过允许数据管理员创建来解决这个问题LF-标签(根据他们的数据分类和本体论), 然后可以附加到资源.

LF-TBAC 是一种授权策略,该策略基于属性来定义权限。在 Lake Formation 中,这些属性称为 LF-Tags。您可以将 LF-Tags 附加到数据目录资源和 Lake Formation 委托人。数据湖管理员可以使用 LF-Tags 分配和撤销对 Lake Formation 资源的权限。有关的更多信息,请参阅,基于标签的 Lake Formation.

本教程演示了如何使用Amazon公有数据集。此外,它还展示了如何查询具有与其关联的基于 Lake Formation 标签的访问策略的表、数据库和列。

您可以将 LF-TBAC 用于以下使用案例:

  • 数据湖管理员必须授予访问权限的大量表和承担者

  • 您想基于本体对数据进行分类,并根据分类授予权限

  • 数据湖管理员希望以松散耦合的方式动态分配权限

以下是使用 LF-TBAC 配置权限的概要步骤:

  1. 数据管家用两个 LF 标签定义了标签本体:ConfidentialSensitive. 与数据Confidential=True拥有更严格的访问控制。与数据Sensitive=True需要分析师进行具体分析。

  2. 数据管理员将不同的权限级别分配给数据工程师来构建具有不同 LF-Tags 的表。

  3. 数据工程师构建两个数据库:tag_databasecol_tag_database. 中的所有表tag_database配置了Confidential=True. 中的所有表col_tag_database配置了Confidential=False. 中的表格中的一些列col_tag_database被标记为Sensitive=True以满足具体的分析需求。

  4. 数据工程师向分析师授予具有特定表达式条件的表的读取权限Confidential=TrueConfidential=FalseSensitive=True.

  5. 使用此配置,数据分析师可以专注于使用正确的数据执行分析。