第 2 步:注册您的数据位置、创建 LF-Tag 本体并授予权限 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 2 步:注册您的数据位置、创建 LF-Tag 本体并授予权限

在此步骤中,数据管家用户使用两个 LF 标签定义标签本体:ConfidentialSensitive,并允许特定的 IAM 委托人将新创建的 LF 标签附加到资源。

注册数据位置并定义 LF-Tag 本体
  1. 以数据管家用户 (lf-data-steward) 的身份执行第一步,验证 Amazon S3 及 Lake Formation 中数据目录中的数据。

    1. 使用部署Amazon CloudFormation堆栈时使用的密码登录 Lak lf-data-steward e Formation 控制台 https://console.aws.amazon.com/lakeformation/

    2. 在导航窗格中的权限下,选择管理角色和任务

    3. 在 “数据湖管理员” 部分选择 “添加”。

    4. 添加管理员页面上,对于 IAM 用户和角色,选择用户lf-data-steward

    5. 选择保存以添加 lf-data-steward 作为 Lake Formation 管理员。

  2. 接下来,更新数据目录设置以使用 Lake Formation 权限来控制目录资源,而不是使用基于 IAM 的访问控制。

    1. 在导航窗格中的管理下,选择数据目录设置

    2. 取消选中仅对新数据库使用 IAM 访问控制

    3. 取消选中仅对新数据库中的新表使用 IAM 访问控制

    4. 单击保存

  3. 接下来,注册数据湖的数据位置。

    1. 在导航窗格的管理下,选择数据湖位置

    2. 选择注册位置

    3. 注册位置页面上,对于 Amazon S3 路径,输入s3://lf-tagbased-demo-Account-ID

    4. 对于 IAM 角色,保留默认值 AWSServiceRoleForLakeFormationDataAccess 不变。

    5. 选择 Lake Formation 作为权限模式。

    6. 选择注册位置

  4. 接下来,通过定义 LF 标签来创建本体。

    1. 在导航窗格的 “权限” 下,选择 LF 标签和权限。 。

    2. 选择添加 LF 标签

    3. 对于,输入 Confidential

    4. 对于,添加 TrueFalse

    5. 选择添加 LF 标签

    6. 重复上述步骤,使用该值创建 LF-T Sensitive agTrue

    您已经为本练习创建了所有必需的 LF 标签。

向 IAM 用户授予权限
  1. 接下来,授权特定的 IAM 主体将新创建的 LF 标签附加到资源。

    1. 在导航窗格的 “权限” 下,选择 LF 标签和权限。

    2. LF-tag 权限部分,选择授予权限。

    3. 对于权限类型,选择 LF-tag 键值对权限。

    4. 选择 IAM 用户和角色

    5. 对于 IAM 用户和角色,搜索并选择 lf-data-engineer 角色。

    6. LF-Tags 部分中,添加Confidential带有值True和的密钥和 w False ith 的keySensitive值。True

    7. 在 “权限” 下,为 “权限” 和 “可授予权限” 选择 “描述关联

    8. 选择授权

  2. 接下来,授予 lf-data-engineer 在我们的数据目录和由 Amazon CloudFormation 创建的底层 Amazon S3 存储桶上创建数据库的权限。

    1. 在导航窗格的 “管理” 下,选择 “管理角色和任务”。

    2. 数据库创建者部分,选择授权

    3. 对于 IAM 用户和角色,选择 lf-data-engineer 角色。

    4. 对于目录权限,选择创建数据库

    5. 选择授权

  3. 接下来,向 lf-data-engineer 用户授予对 Amazon S3 存储桶 (s3://lf-tagbased-demo-Account-ID) 的权限。

    1. 在导航窗格中的权限下,选择数据位置

    2. 选择授权

    3. 选择我的账户

    4. 对于 IAM 用户和角色,选择 lf-data-engineer 角色。

    5. 对于存储位置,输入通过 Amazon CloudFormation 模板 (s3://lf-tagbased-demo-Account-ID) 创建的 Amazon S3 存储桶。

    6. 选择授权

  4. 接下来,对与 LF- Tag 表达lf-data-engineer式关联的资源授予可授予权限。Confidential=True

    1. 在导航窗格的权限下,选择数据湖权限

    2. 选择授权

    3. 选择 IAM 用户和角色

    4. 选择角色 lf-data-engineer

    5. LF 标签或目录资源部分中,选择与 LF 标签匹配的资源

    6. 选择 “添加 LF-Tag 键值对”。

    7. 添加值为 True 的键 Confidential

    8. 数据库权限部分,为数据库权限可授予的权限选择描述

    9. 在 “表权限” 部分中,为权限和可授予权限选择描述、选择和更改

    10. 选择授权

  5. 接下来,对与 LF-Tag 表达lf-data-engineer式关联的资源授予可授予权限。Confidential=False

    1. 在导航窗格的权限下,选择数据湖权限

    2. 选择授权

    3. 选择 IAM 用户和角色

    4. 选择角色 lf-data-engineer

    5. 选择通过 LF 标签匹配的资源

    6. 选择添加 LF 标签

    7. 添加值为 False 的键 Confidential

    8. 数据库权限部分,为数据库权限可授予的权限选择描述

    9. 表和列权限 部分,请勿选择任何内容。

    10. 选择授权

  6. 接下来,我们为与 LF-Tag 键值对关联的资源授lf-data-engineer予可授予的权限,以及。Confidential=False Sensitive=True

    1. 在导航窗格的权限下,选择数据权限

    2. 选择授权

    3. 选择 IAM 用户和角色

    4. 选择角色 lf-data-engineer

    5. LF 标签或目录资源部分下,选择与 LF 标签匹配的资源

    6. 选择添加 LF 标签

    7. 添加值为 False 的键 Confidential

    8. 选择 “添加 LF-Tag 键值对”。

    9. 添加值为 True 的键 Sensitive

    10. 数据库权限部分,为数据库权限可授予的权限选择描述

    11. 在 “表权限” 部分中,为权限和可授予权限选择描述、选择和更改

    12. 选择授权