本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Lake Formation Tagion 访问控制说明和限制
以下是基于 Lake Formation 标签的访问控制的注意事项和限制:
-
使用基于 Lake Formation 标签的访问控制 (LF-TBAC) 授予对数据目录资源的跨账户访问权限需要为您的数据目录资源策略添加内容Amazonaccount. 有关更多信息,请参阅 Lake Formation 基于标签的访问控制跨账户先决条件。
-
LF-tag 密钥和 LF-tag 值的长度不能超过 50 个字符。
-
可以分配给数据目录资源的 LF 标签的最大数量为 50。
-
以下限制是软限制:
-
-
可以创建的 LFG 标签的最大数量为 1000。
-
可以为 LF-tag 定义的最大值数为 1000。
-
-
标签密钥和值在存储时全部转换为小写。
-
只能将 LF-tag 的一个值分配给特定资源。
-
如果通过一次授权向委托人授予多个 LF-Tag,则该委托人只能访问具有所有 LF 标签的数据目录资源。
-
Amazon GlueETL 作业需要完整的表访问权限。如果出现以下情况,则作业将失败Amazon GlueETL 角色无权访问表中的所有列。可以在列级别应用 LF-tags,但这可能会导致Amazon GlueETL 角色将失去表的完整访问权限并导致作业失败。使用数据筛选器进行列和/或行筛选不受此限制的影响。
-
如果 LF-tag 表达式求值结果只能访问表列的子集,但在存在匹配项时授予的 Lake Formation 权限是需要完整列访问权限的权限之一,即
ALTER、DROP、INSERT,或者DELETE,则这些权限均未被授予。相反,只有DESCRIBEGRANTED 如果授予的权限是ALL(Super),那么只有SELECT和DESCRIBEGRANTED -
支持对 LF-tags 授予跨账户权限,但仅限于向外部授予Amazon账户,不分配给企业或企业单位。