本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
关于升级到 Lake Formation 权限模型
为了保持向后兼容性Amazon Glue,默认情况下,Amazon Lake Formation授予Super
的许可IAMAllowedPrincipals
对所有现有群组进行分组Amazon Glue数据目录资源,并授予Super
对新数据目录资源的权限如果仅使用 IAM 访问控制设置已启用。这实际上导致对数据目录资源和 Amazon S3 位置的访问完全由以下人员控制Amazon Identity and Access Management(IAM) 政策。这个IAMAllowedPrincipals
群组包括您的 IAM 策略允许访问您的数据目录对象的任何 IAM 用户和角色。这个Super
权限使委托人能够对授予权限的数据库或表执行所有支持的 Lake Formation 操作。
您可以通过在 Lake Formation 中注册现有数据目录资源的位置来开始使用 Lake Formation 来管理对数据的访问权限。开始使用现有的 Lake Formation 权限Amazon Glue数据目录数据库和表,必须执行以下操作:
-
确定您的用户对每个数据库和表的现有 IAM 权限。
-
在 Lake Formation 中复制这些权限
-
对于包含数据的每个 Amazon S3 位置:
-
撤销
Super
来自的许可IAMAllowedPrincipals
对引用该位置的每个数据目录资源进行分组。 -
在 Lake Formation 中注册地点。
-
-
清理现有的细粒度访问控制 IAM 策略。
重要
要在过渡数据目录的过程中添加新用户,必须进行精细设置Amazon GlueIAM 中的权限和以前一样。您还必须按照本节所述在 Lake Formation 中复制这些权限。如果新用户拥有本指南中描述的粗略的 IAM 策略,则他们可以列出任何具有Super
已授予许可IAMAllowedPrincipals
。他们还可以查看这些资源的元数据。
按照本节中的步骤升级到 Lake Formation 权限模型。从... 开始步骤 1:列出用户和角色的现有权限。