Amazon Lake Formation 使用 IAM 身份中心进行设置 - Amazon IAM Identity Center
先决条件设置可信身份传播的步骤使用 Lake Formation 进行可信身份传播 Amazon Web Services 账户
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Lake Formation 使用 IAM 身份中心进行设置

Amazon Lake Formation是一项托管服务,可让您轻松创建和管理数据湖 Amazon。它可以自动进行数据收集、编目和安全,为存储和分析各种数据类型提供了一个集中式存储库。Lake Formation 提供精细的访问控制并与各种 Amazon 分析服务集成,使组织能够高效地设置、保护数据湖并从中获取见解。

按照以下步骤操作,让 Lake Formation 能够使用 IAM 身份中心和可信身份传播基于用户身份授予数据权限。

先决条件

在开始本教程之前,您首先需要设置以下方面:

设置可信身份传播的步骤

  1. Amazon Lake Formation按照@@ 将 Lake Formation 与 IAM 身份中心连接中的指导进行集成 IAM 身份中心

    重要

    如果您没有 Amazon Glue Data Catalog 表,则必须创建表才能使用 Amazon Lake Formation 向 IAM Identity Center 用户和群组授予访问权限。有关更多信息, Amazon Glue Data Catalog请参阅中的创建对象

  2. 注册数据湖位置

    注册存储 Glue 表数据的 S3 位置。这样,Lake Formation 将在查询表时提供对所需 S3 位置的临时访问权限,从而无需在服务角色中包含 S3 权限(例如,上配置的 Athena 服务角色)。 WorkGroup

    1. 导航到 Amazon Lake Formation 控制台导航窗格中 “管理” 部分下的数据湖位置。选择注册位置

      这将允许 Lake Formation 配置具有访问 S3 数据位置所需的权限的临时 IAM 证书。

      第 1 步在 Lake Formation 控制台中注册数据湖位置。

    2. 在 Amazon S3 路径字段中输入 Amazon Glue 表的数据位置的 S3 路径

    3. IAM 角色部分,如果您想将服务关联角色用于可信身份传播,请不要选择该角色。创建具有以下权限的单独角色。

      要使用这些策略,请将示例策略italicized placeholder text中的替换为您自己的信息。有关其他说明,请参阅创建策略编辑策略。权限策略应授予对路径中指定的 S3 位置的访问权限:

      1. 权限策略

        {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::Your-S3-Bucket/*"
            ]
        },
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::Your-S3-Bucket"
            ]
        },
        {
            "Sid": "LakeFormationDataAccessServiceRolePolicy",
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ]
        }
    ]
}

      2. 信任关系:这应包括sts:SectContext可信身份传播所必需的。

        {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": "lakeformation.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}
        注意

        向导创建的 IAM 角色是服务相关角色,不包括sts:SetContext

    4. 创建 IAM 角色后,选择注册地点

使用 Lake Formation 进行可信身份传播 Amazon Web Services 账户

Amazon Lake Formation 支持使用 Amazon Resource Access Manager (RAM) 共享表,当授予者账户 Amazon Web Services 账户 和被授权者账户处于相同 Amazon Web Services 区域、相同且共享相同的 IAM Identity Center 组织实例时 Amazon Organizations,它可以进行可信身份传播。有关更多信息,请参阅 Lake Formation 中的跨账户数据共享