在生产者账户中配置 Lake Formation 数据目录设置 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在生产者账户中配置 Lake Formation 数据目录设置

开始本教程之前,您必须具有Amazon Web Services 账户您可以登录作为Amazon Identity and Access Management具有正确权限的 (IAM) 用户。有关更多信息,请参阅 注册Amazon创建 IAM 管理员用户

本教程假设您已熟悉 IAM。有关 IAM 的信息,请参阅IAM 用户指南.

在生产者账户中配置 Lake Formation 数据目录设置

注意

在本教程中,拥有源表的账户称为生产者账户,需要访问源表的账户称为消费者账户。

Lake Formation 提供了自己的权限管理模型。为了保持与 IAM 权限模型的向后兼容性,Super已向组授予权限IAMAllowedPrincipals在所有现有Amazon Glue Data Catalog默认情况下,资源。另请参阅仅使用 IAM 访问控制设置已为新的数据目录资源启用。本教程使用 Lake Formation 权限使用精细的访问控制,并使用 IAM 策略进行粗粒度访问控制。有关详细信息,请参阅 精细访问控制的方法。因此,在使用之前的Amazon CloudFormation模板进行快速设置时,您需要更改生产者账户中的 Lake Formation 数据目录设置。

重要

此设置会影响所有新创建的数据库和表,因此我们强烈建议在非生产账户或新账户中完成本教程。此外,如果您使用的是共享账户(例如贵公司的开发账户),请确保它不会影响其他资源。如果您更喜欢保留默认安全设置,则必须在将资源共享到其他账户时完成额外的步骤,在此步骤中撤销默认设置超级许可来自IAMAllowedPrincipals在数据库或表格上。我们将在本教程的后面部分中讨论细节。

要在生产者账户中配置 Lake Formation 数据目录设置,请完成以下步骤:

  1. 登录到Amazon Web Services Management Console将生产者账户用作管理员用户或作为 Lake Formation 的用户使用PutDataLakeSettingsAPI 权限。

  2. 在 Lake Formation Storage Storage 控制台上的导航窗格下Data Catalog,选择设置.

  3. 取消除仅对新数据库使用 IAM 访问控制仅对新数据库中的新表使用 IAM 访问控制

    选择 Save(保存)。

    此外,您可以删除CREATE_DATABASE的权限IAMAllowedPrincipals管理角色和任务数据库创建. 只有这样,您才能管理谁可以通过 Lake Formation 权限创建新数据库。