第 2 步:注册数据位置、创建 LF-tag 本体并授予权限 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 2 步:注册数据位置、创建 LF-tag 本体并授予权限

在此步骤中,数据管理员用户使用两个 LF-Tags 定义标签本体:ConfidentialSensitive,并使特定的 IAM 委托人能够将新创建的 LF-Tags 附加到资源。

注册数据位置并定义 lf-tag 本体

  1. 以数据管理员用户身份执行第一步 (lf-data-steward) 以验证 Amazon S3 中的数据和 Lake Formation 中的数据目录。

    1. 通过以下地址登录 Lake Formation 控制台https://console.aws.amazon.com/lakeformation/如同lf-data-steward使用在部署时使用的密码Amazon CloudFormation堆栈。

    2. 在导航窗格中的下Permissions (权限)选择管理角色和任务.

    3. 适用于IAM 用户和角色,选择用户lf-data-steward.

    4. 选择Save(保存)添加lf-data-steward作为 Lake Formation 管理员。

  2. 接下来,更新数据目录设置以使用 Lake Formation 权限来控制目录资源,而不是基于 IAM 的访问控制。

    1. 在导航窗格中的下Data Catalog,选择设置.

    2. 不选中仅对新数据库使用 IAM 访问控制.

    3. 不选中仅对新数据库中的新表使用 IAM 访问控制.

    4. 单击保存

  3. 接下来,注册数据湖的数据位置。

    1. 在导航窗格中的下注册和摄取,选择数据湖位置.

    2. 适用于Amazon S3 路径,输入s3://lf-tagbased-demo-Account-ID.

    3. 适用于IAMRoleror 保留默认值AWSServiceRoleForLakeFormationDataAccess就像现在一样。

    4. 选择注册位置.

  4. 接下来,通过定义 LF-tag 来创建本体论。

    1. UNDERPermissions (权限)在导航窗格中的下管理角色,选择LF-标签。.

    2. 选择添加 LF-标签.

    3. 对于 Key(键),输入 Confidential

    4. 适用于,添加TrueFalse.

    5. 选择添加 lf-tag.

    6. 重复上述步骤以创建lf-tag Sensitive有效值True.

    你已经创建了所有必要的LF-标签在本练习中。

向 IAM 用户授予权限

  1. 接下来,让特定的 IAM 委托人能够将新创建的 LF-Tags 附加到资源。

    1. UNDERPermissions (权限)在导航窗格中的下管理角色,选择LF 标签权限.

    2. 选择 Grant(授权)。

    3. SelectIAM 用户和角色.

    4. 适用于IAM 用户和角色,搜索并选择lf-data-engineer角色。

    5. lf-tag 权限范围部分中,添加密钥Confidential有价值TrueFalse,以及key Sensitive有效值True.

    6. UNDERPermissions (权限)SELECT描述关联为了LF 标签权限GRANTABLE权限。

    7. 选择 Grant(授权)。

  2. 接下来,将权限授予lf-data-engineer在我们的数据目录和由创建的底层 Amazon S3 存储桶上创建数据库Amazon CloudFormation.

    1. UNDERPermissions (权限)在导航窗格中,选择和。管理角色.

    2. 数据库创建部分,选择Grant.

    3. 适用于IAM 用户和角色,选择lf-data-engineer角色。

    4. 适用于目录权限,选择创建数据库.

    5. 选择 Grant(授权)。

  3. 接下来,授予 Amazon S3 存储桶上的权限(s3://lf-tagbased-demo-Account-ID)lf-data-engineer用户。

    1. 在导航窗格中,选择和。数据位置.

    2. 选择 Grant(授权)。

    3. Select我的账户.

    4. 适用于IAM 用户和角色,选择lf-data-engineer角色。

    5. 适用于存储位置中 Amazon S3 入由Amazon CloudFormation模板(s3://lf-tagbased-demo-Account-ID).

    6. 选择 Grant(授权)。

  4. 然后,授予lf-data-engineer对与lf-tag表情Confidential=True.

    1. 在导航窗格中,选择和。数据权限.

    2. 选择 Grant(授权)。

    3. SelectIAM 用户和角色.

    4. 选择角色lf-data-engineer.

    5. lf-tag 或目录资源部分,选择与 LF 标签匹配的资源.

    6. 选择添加 lf-tag.

    7. 添加关键帧Confidential有价值True.

    8. 数据库权限部分,选择描述为了数据库权限和 Grantable 权限.

    9. 表和列权限部分,选择描述Select, 和更改对于两者的表权限可授权.

    10. 选择 Grant(授权)。

  5. 然后,授予lf-data-engineer对与 lf-tag 表达式关联的资源的可授予权限Confidential=False.

    1. 在导航窗格中,选择和。数据权限.

    2. 选择 Grant(授权)。

    3. SelectIAM 用户和角色.

    4. 选择角色lf-data-engineer.

    5. Select与 LF 标签匹配的资源.

    6. 选择添加 lf-tag.

    7. 添加关键帧Confidential有价值False.

    8. 数据库权限部分,选择描述为了数据库权限可授权.

    9. 表和列权限部分,不要选择任何东西。

    10. 选择 Grant(授权)。

  6. 接下来,我们授予lf-data-engineer对与lf-tag表情Confidential=FalseSensitive=True.

    1. 在导航窗格中,选择和。数据权限.

    2. 选择 Grant(授权)。

    3. SelectIAM 用户和角色.

    4. 选择角色lf-data-engineer.

    5. Select与 LF 标签匹配的资源.

    6. 选择添加 lf-tag.

    7. 添加关键帧Confidential有效值False.

    8. 选择添加 lf-tag.

    9. 添加关键帧Sensitive有效值True.

    10. 数据库权限部分,选择描述为了数据库权限和 Grantable 权限.

    11. 表和列权限部分,选择描述Select, 和更改对于两者的表权限可授权.

    12. 选择 Grant(授权)。