关于升级到 Lake Formation 权限模型 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

关于升级到 Lake Formation 权限模型

为了保持向后兼容性Amazon Glue,默认情况下,Amazon Lake Formation授予Super的许可IAMAllowedPrincipals对所有现有群组进行分组Amazon Glue数据目录资源,并授予Super对新数据目录资源的权限如果仅使用 IAM 访问控制设置已启用。这实际上导致对数据目录资源和 Amazon S3 位置的访问完全由以下人员控制Amazon Identity and Access Management(IAM) 政策。这个IAMAllowedPrincipals群组包括您的 IAM 策略允许访问您的数据目录对象的任何 IAM 用户和角色。这个Super权限使委托人能够对授予权限的数据库或表执行所有支持的 Lake Formation 操作。

您可以通过在 Lake Formation 中注册现有数据目录资源的位置来开始使用 Lake Formation 来管理对数据的访问权限。开始使用现有的 Lake Formation 权限Amazon Glue数据目录数据库和表,必须执行以下操作:

  1. 确定您的用户对每个数据库和表的现有 IAM 权限。

  2. 在 Lake Formation 中复制这些权限

  3. 对于包含数据的每个 Amazon S3 位置:

    1. 撤销Super来自的许可IAMAllowedPrincipals对引用该位置的每个数据目录资源进行分组。

    2. 在 Lake Formation 中注册地点。

  4. 清理现有的细粒度访问控制 IAM 策略。

重要

要在过渡数据目录的过程中添加新用户,必须进行精细设置Amazon GlueIAM 中的权限和以前一样。您还必须按照本节所述在 Lake Formation 中复制这些权限。如果新用户拥有本指南中描述的粗略的 IAM 策略,则他们可以列出任何具有Super已授予许可IAMAllowedPrincipals。他们还可以查看这些资源的元数据。

按照本节中的步骤升级到 Lake Formation 权限模型。从... 开始步骤 1:列出用户和角色的现有权限