本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
关于升级到 Lake Formation 权限模型
保持向后兼容性Amazon Glue默认情况下,Amazon Lake Formation授予Super
获得的权限IAMAllowedPrincipals
在所有现有情况下组Amazon Glue数据目录资源,并授予Super
对新数据目录资源的权限(如果仅使用 IAM 访问控制设置已启用。这实际上导致对数据目录资源和 Amazon S3 位置的访问完全由Amazon Identity and Access Management(IAM) 策略。这些区域有:IAMAllowedPrincipals
组包括 IAM 策略允许访问数据目录对象的任何 IAM 用户和角色。这些区域有:Super
权限使委托人能够在授予该操作的数据库或表上执行所有受支持的 Lake Formation 操作。
通过在 Lake Formation 中注册现有数据目录资源的位置,您可以开始使用 Lake Formation 来管理对数据的访问。开始对现有的 Lake Formation 权限使用Amazon Glue数据目录数据库和表,您必须执行以下操作:
-
确定用户对每个数据库和表的现有 IAM 权限。
-
在 Lake Formation 中复制这些权限。
-
对于包含数据的每个 Amazon S3 位置:
-
撤消
Super
来自IAMAllowedPrincipals
每个引用该位置的数据目录资源上的组。 -
向 Lake Formation 注册该地点。
-
-
清理现有的精细访问控制 IAM 策略。
要在转换数据目录的过程中添加新用户,必须设置精细Amazon Glue和以前一样,IAM 中的权限。您还必须按照本节所述在 Lake Formation 中复制这些权限。如果新用户拥有本指南中描述的粗粒度 IAM 策略,则他们可以列出具有Super
授予的权限IAMAllowedPrincipals
. 他们还可以查看这些资源的元数据。但是,除非您向 Lake Formation 注册 Amazon S3 位置,否则他们无法查询数据本身。
按照本节中的步骤升级到 Lake Formation 权限模型。从开始第 1 步:列出用户和角色的现有权限.