关于升级到 Lake Formation 权限模型 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

关于升级到 Lake Formation 权限模型

保持向后兼容性Amazon Glue默认情况下,Amazon Lake Formation授予Super获得的权限IAMAllowedPrincipals在所有现有情况下组Amazon Glue数据目录资源,并授予Super对新数据目录资源的权限(如果仅使用 IAM 访问控制设置已启用。这实际上导致对数据目录资源和 Amazon S3 位置的访问完全由Amazon Identity and Access Management(IAM) 策略。这些区域有:IAMAllowedPrincipals组包括 IAM 策略允许访问数据目录对象的任何 IAM 用户和角色。这些区域有:Super权限使委托人能够在授予该操作的数据库或表上执行所有受支持的 Lake Formation 操作。

通过在 Lake Formation 中注册现有数据目录资源的位置,您可以开始使用 Lake Formation 来管理对数据的访问。开始对现有的 Lake Formation 权限使用Amazon Glue数据目录数据库和表,您必须执行以下操作:

  1. 确定用户对每个数据库和表的现有 IAM 权限。

  2. 在 Lake Formation 中复制这些权限。

  3. 对于包含数据的每个 Amazon S3 位置:

    1. 撤消Super来自IAMAllowedPrincipals每个引用该位置的数据目录资源上的组。

    2. 向 Lake Formation 注册该地点。

  4. 清理现有的精细访问控制 IAM 策略。

重要

要在转换数据目录的过程中添加新用户,必须设置精细Amazon Glue和以前一样,IAM 中的权限。您还必须按照本节所述在 Lake Formation 中复制这些权限。如果新用户拥有本指南中描述的粗粒度 IAM 策略,则他们可以列出具有Super授予的权限IAMAllowedPrincipals. 他们还可以查看这些资源的元数据。但是,除非您向 Lake Formation 注册 Amazon S3 位置,否则他们无法查询数据本身。

按照本节中的步骤升级到 Lake Formation 权限模型。从开始第 1 步:列出用户和角色的现有权限.