本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Lake Formation 中元数据和数据的安全和访问控制
Amazon Lake Formation提供基于简单授予/撤销机制的权限模型。Lake Formation 权限与Amazon Identity and Access Management (IAM) 权限相结合,可控制对存储在数据湖中的数据以及描述该数据的元数据的访问权限。
在了解 Lake Formation 权限模型的详细信息之前,查看以下背景信息会很有帮助:
-
Lake Formation 管理的数据湖位于亚马逊Simple Storage Service (Amazon S3) 中的指定位置。
-
Lake Formation 维护一个数据目录,其中包含有关要导入数据湖的源数据的元数据,例如日志和关系数据库中的数据,以及 Amazon S3 中数据湖中数据的元数据。元数据以数据库和表的形式组织。元数据表包含架构、位置、分区以及与它们所代表的数据有关的其他信息。元数据数据库是表的集合。
-
Lake Formation 数据目录与使用的数据目录相同Amazon Glue。您可以使用Amazon Glue爬网程序创建数据目录表,也可以使用Amazon Glue提取、转换和加载(ETL)任务,以填充数据湖中的基础数据。
-
数据目录中的数据库和表被称为数据目录资源。数据目录中的表被称为元数据表,以区别于数据源中的表或 Amazon S3 中的表格数据。元数据表在 Amazon S3 或数据源中指向的数据被称为基础数据。
-
委托人是用户或角色、亚马逊 QuickSight用户或群组、通过 SAML 提供商向 Lake Formation 进行身份验证的用户或群组,或者用于跨Amazon账户访问控制的账户 ID、组织 ID 或组织单位 ID。
-
Amazon Glue爬虫会创建元数据表,但您也可以使用 Lake Formation 控制台、API 或Amazon Command Line Interface (Amazon CLI) 手动创建元数据表。创建元数据表时,必须指定位置。创建数据库时,位置是可选的。表位置可以是 Amazon S3 位置或数据源位置,例如Amazon Relational Database Service (Amazon RDS) 数据库。数据库位置始终是 Amazon S3 的位置。
-
与 Lake Formation 集成的服务,例如 Amazon Athena 和 Amazon Redshift,可以访问数据目录以获取元数据并检查正在运行的查询的授权。有关集成服务的完整列表,请参阅Amazon与 Lake Formation 集成。