本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在制作者账户中配置 Lake Formation 数据目录设置
在开始本教程之前,你必须有一个 Amazon Web Services 账户 可以用来以具有正确权限的管理用户身份登录的。有关更多信息,请参阅 完成初始 Amazon 配置任务。
本教程假定您熟悉 IAM。有关 IAM 的信息,请参阅 IAM 用户指南。
在制作者账户中配置 Lake Formation 数据目录设置
注意
在本教程中,拥有源表的账户称为制作者账户,需要访问源表的账户称为使用者账户。
Lake Formation 提供了自己的权限管理模型。为了保持与 IAM 权限模型的向后兼容性,默认情况下会向该群组授予IAMAllowedPrincipals对所有现有 Amazon Glue Data Catalog 资源的Super权限。此外,还为新的数据目录资源启用了仅使用 IAM 访问控制设置。本教程利用 Lake Formation 权限来使用细粒度访问控制,并使用 IAM 策略进行粗粒度访问控制。有关详细信息,请参阅 精细访问控制的方法。因此,在使用 Amazon CloudFormation 模板进行快速设置之前,需要在制作者账户中更改 Lake Formation 数据目录设置。
重要
此设置会影响所有新创建的数据库和表,因此我们强烈建议使用非生产账户或新账户完成本教程。此外,如果您使用的是共享账户(例如贵公司的开发账户),请确保它不会影响其他资源。如果您希望保留默认安全设置,则在与其他账户共享资源时必须完成一个额外步骤,即撤销 IAMAllowedPrincipals 对数据库或表的默认 Super 权限。我们会在本教程的后面部分中讨论详细信息。
要在制作者账户中配置 Lake Formation 数据目录设置,请完成以下步骤:
以管理员用户或具有 Lake Formation
PutDataLakeSettingsAPI 权限的用户身份 Amazon Web Services Management Console 使用制作人账户登录。-
在 Lake Formation 控制台的导航窗格中,在数据目录下选择设置。
-
取消选择仅对新数据库使用 IAM 访问控制和仅对新数据库中的新表使用 IAM 访问控制
选择保存。
此外,您可以在管理角色和任务的数据库创建者下删除
IAMAllowedPrincipals的CREATE_DATABASE权限。只有这样,您才能通过 Lake Formation 权限控制谁可以创建新数据库。