本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
关于升级为 Lake Formation 权限模型
为了保持与 Amazon Glue 的向后兼容性,默认情况下,Amazon Lake Formation 会向 IAMAllowedPrincipals 组授予对所有现有 Amazon Glue 数据目录资源的 Super 权限,并且如果启用了仅使用 IAM 访问控制设置,则授予对新数据目录资源的 Super 权限。这实际上会导致对数据目录资源和 Amazon S3 位置的访问仅由 Amazon Identity and Access Management (IAM) 策略控制。IAMAllowedPrincipals 组包括 IAM 策略允许访问数据目录对象的任何 IAM 用户和角色。Super 权限使主体能够对被授予该权限的数据库或表执行所有支持的 Lake Formation 操作。
您可以通过在 Lake Formation 中注册现有数据目录资源的位置或使用混合访问模式,开始使用 Lake Formation 来管理对数据的访问。当您在混合访问模式下注册 Amazon S3 位置时,您可以通过选择该位置下的数据库和表的主体来启用 Lake Formation 权限。
为了简化数据湖权限从 IAM 和 Amazon S3 模型向 Lake Formation 权限的过渡,我们建议您对数据目录使用混合访问模式。在混合访问模式下,您现在有了增量路径,允许您为一组特定的用户启用 Lake Formation 权限,而不会中断其他现有用户或工作负载。
有关更多信息,请参阅 混合访问模式。
禁用默认数据目录设置,只需一步即可将表的所有现有用户移至 Lake Formation。
要开始对现有 Amazon Glue 数据目录数据库和表使用 Lake Formation 权限,您必须执行以下操作:
-
确定用户具有的对每个数据库和表的现有 IAM 权限。
-
在 Lake Formation 中复制这些权限。
-
对于包含数据的每个 Amazon S3 位置:
-
撤销
IAMAllowedPrincipals组对引用该位置的每个数据目录资源的Super权限。 -
向 Lake Formation 注册该位置。
-
-
清理现有的精细访问控制 IAM 策略。
重要
要在过渡数据目录的过程中添加新用户,您必须像之前一样在 IAM 中设置精细 Amazon Glue 权限,还必须在 Lake Formation 中复制这些权限,如本部分所述。如果新用户具有本指南中所述的粗粒度 IAM 策略,则可以列出具有已向 IAMAllowedPrincipals 授予的 Super 权限的任何数据库或表。他们还可以查看这些资源的元数据。
按照本部分中的步骤升级为 Lake Formation 权限模型。首先是步骤 1:列出用户和角色的现有权限。