本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
第 2 步:注册您的数据位置、创建 LF-Tag 本体并授予权限
在此步骤中,数据管家用户使用两个 LF 标签定义标签本体:Confidential
和Sensitive
,并允许特定的 IAM 委托人将新创建的 LF 标签附加到资源。
注册数据位置并定义 LF-Tag 本体
以数据管家用户 (
lf-data-steward
) 的身份执行第一步,验证 Amazon S3 及 Lake Formation 中数据目录中的数据。使用部署Amazon CloudFormation堆栈时使用的密码登录 Lak
lf-data-steward
e Formation 控制台 https://console.aws.amazon.com/lakeformation/。 在导航窗格中的权限下,选择管理角色和任务。
在 “数据湖管理员” 部分选择 “添加”。
在添加管理员页面上,对于 IAM 用户和角色,选择用户
lf-data-steward
。选择保存以添加
lf-data-steward
作为 Lake Formation 管理员。
-
接下来,更新数据目录设置以使用 Lake Formation 权限来控制目录资源,而不是使用基于 IAM 的访问控制。
在导航窗格中的管理下,选择数据目录设置。
取消选中仅对新数据库使用 IAM 访问控制。
取消选中仅对新数据库中的新表使用 IAM 访问控制。
单击保存。
接下来,注册数据湖的数据位置。
在导航窗格的管理下,选择数据湖位置。
选择注册位置。
在注册位置页面上,对于 Amazon S3 路径,输入
s3://lf-tagbased-demo-
。Account-ID
对于 IAM 角色,保留默认值
AWSServiceRoleForLakeFormationDataAccess
不变。选择 Lake Formation 作为权限模式。
选择注册位置。
-
接下来,通过定义 LF 标签来创建本体。
在导航窗格的 “权限” 下,选择 LF 标签和权限。 。
选择添加 LF 标签。
对于键,输入
Confidential
。对于值,添加
True
和False
。选择添加 LF 标签。
-
重复上述步骤,使用该值创建 LF-T
Sensitive
ag。True
您已经为本练习创建了所有必需的 LF 标签。
向 IAM 用户授予权限
-
接下来,授权特定的 IAM 主体将新创建的 LF 标签附加到资源。
在导航窗格的 “权限” 下,选择 LF 标签和权限。
在 LF-tag 权限部分,选择授予权限。
对于权限类型,选择 LF-tag 键值对权限。
选择 IAM 用户和角色。
对于 IAM 用户和角色,搜索并选择
lf-data-engineer
角色。在 LF-Tags 部分中,添加
Confidential
带有值True
和的密钥和 wFalse
ith 的key
Sensitive
值。True
在 “权限” 下,为 “权限” 和 “可授予权限” 选择 “描述并关联”。
选择授权。
-
接下来,授予
lf-data-engineer
在我们的数据目录和由 Amazon CloudFormation 创建的底层 Amazon S3 存储桶上创建数据库的权限。在导航窗格的 “管理” 下,选择 “管理角色和任务”。
在数据库创建者部分,选择授权。
对于 IAM 用户和角色,选择
lf-data-engineer
角色。对于目录权限,选择创建数据库。
选择授权。
-
接下来,向
lf-data-engineer
用户授予对 Amazon S3 存储桶(s3://lf-tagbased-demo-
的权限。Account-ID
)在导航窗格中的权限下,选择数据位置。
选择授权。
选择我的账户。
对于 IAM 用户和角色,选择
lf-data-engineer
角色。对于存储位置,输入通过 Amazon CloudFormation 模板
(s3://lf-tagbased-demo-
创建的 Amazon S3 存储桶。Account-ID
)选择授权。
-
接下来,对与 LF- Tag 表达
lf-data-engineer
式关联的资源授予可授予权限。Confidential=True
在导航窗格的权限下,选择数据湖权限。
选择授权。
选择 IAM 用户和角色。
选择角色
lf-data-engineer
。在 LF 标签或目录资源部分中,选择与 LF 标签匹配的资源。
选择 “添加 LF-Tag 键值对”。
添加值为
True
的键Confidential
。在数据库权限部分,为数据库权限和可授予的权限选择描述。
在 “表权限” 部分中,为表权限和可授予权限选择描述、选择和更改。
选择授权。
-
接下来,对与 LF-Tag 表达
lf-data-engineer
式关联的资源授予可授予权限。Confidential=False
在导航窗格的权限下,选择数据湖权限。
选择授权。
选择 IAM 用户和角色。
选择角色
lf-data-engineer
。选择通过 LF 标签匹配的资源。
选择添加 LF 标签。
添加值为
False
的键Confidential
。在数据库权限部分,为数据库权限和可授予的权限选择描述。
在表和列权限 部分,请勿选择任何内容。
选择授权。
-
接下来,我们为与 LF-Tag 键值对关联的资源授
lf-data-engineer
予可授予的权限,以及。Confidential=False
Sensitive=True
在导航窗格的权限下,选择数据权限。
选择授权。
选择 IAM 用户和角色。
选择角色
lf-data-engineer
。在 LF 标签或目录资源部分下,选择与 LF 标签匹配的资源。
选择添加 LF 标签。
添加值为
False
的键Confidential
。选择 “添加 LF-Tag 键值对”。
添加值为
True
的键Sensitive
。在数据库权限部分,为数据库权限和可授予的权限选择描述。
在 “表权限” 部分中,为表权限和可授予权限选择描述、选择和更改。
选择授权。