关于升级到 Lake Formation 权限模型 - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

关于升级到 Lake Formation 权限模型

保持与的向后兼容性 AWS Glue,依默认, AWS Lake Formation 授予 Super 许可 IAMAllowedPrincipals 现有分组 AWS Glue Data Catalog 资源,并授予 Super 新权限 Data Catalog 资源,如果 仅使用IAM访问控制 设置已启用。这有效地导致访问 Data Catalog 资源和 Amazon S3 只能由 AWS Identity and Access Management (人IAM)政策。的 IAMAllowedPrincipals 组包括任何 IAM 用户和角色 Data Catalog 对象 IAM 政策。的 Super 权限使主体能够执行每个支持的 Lake Formation 对在其上授予的数据库或表执行的操作。

您开始使用 Lake Formation 通过注册现有 Data Catalog 资源 Lake Formation. 开始使用 Lake Formation 现有权限 AWS Glue Data Catalog 数据库和表格,您必须执行以下操作:

  1. 确定用户现有的 IAM 每个数据库和表的权限。

  2. 在中复制这些权限 Lake Formation.

  3. 针对每个 Amazon S3 包含数据的位置:

    1. 撤销 Super permissionfromthe IAMAllowedPrincipals 分组 Data Catalog 引用该位置的资源。

    2. 注册位置 Lake Formation.

  4. 清理现有的细粒度访问控制 IAM 政策。

重要

要在过渡过程中添加新用户 Data Catalog,您必须设置粒度 AWS Glue 权限 IAM 同前。您还必须在中复制这些权限 Lake Formation 如本节所述。如果新用户有粗颗粒 IAM 指南中描述的策略,它们可以列出具有 Super 授予的权限 IAMAllowedPrincipals。他们还可以查看这些资源的元数据。但是,除非您注册了 Amazon S3 位置 Lake Formation.

Followthestepsinthissectiontoupgradetothe Lake Formation 权限模型。开始于 第1步: 列出用户和角色的现有权限.