用于精细访问控制的方法 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用于精细访问控制的方法

有了数据湖,目标是实现对数据的精细访问控制。在 Lake Formation 中,这意味着对数据目录资源和 Amazon S3 位置进行精细的访问控制。您可以使用以下方法之一实现了精细的访问控制。

方法 Lake Formation mat IAM 权限 注释
方法 1 Open(打开) 精密码策略

这是默认方法用于向后兼容Amazon Glue.

  • 打开意味着特殊权限Super被授予组IAMAllowedPrincipals其中,其中,IAMAllowedPrincipals是自动创建的,包括您的 IAM 策略允许访问您的数据目录资源的任何 IAM 用户和角色,Super权限使主体能够对授予权限的数据库或表执行所有受支持的 Lake Formation 操作。这实际上导致对数据目录资源和 Amazon S3 位置的访问完全由 IAM 策略控制。有关更多信息,请参阅 更改数据湖的默认安全设置升级Amazon Glue的数据权限Amazon Lake Formation模型

  • 精密码策略意味着 IAM 策略控制对数据目录资源和单个 Amazon S3 存储桶的所有访问。

在 Lake Formation 控制台上,此方法显示为仅使用 IAM 访问控制.
方法 2 精密码策略 粗粒度

这是推荐方法。

  • 精密码策略访问权限是指向数据目录资源、Amazon S3 位置以及这些位置中的基础数据的个别委托人授予有限的 Lake Formation 权限。

  • 粗粒度意味着对单个操作和 Amazon S3 位置的访问权限更广。例如,粗粒度的 IAM 策略可能包括"glue:*"要么"glue:Create*"而不是"glue:CreateTables",保留 Lake Formation 权限来控制委托人是否可以创建目录对象。这也意味着授予委托人访问他们完成工作所需的 API 的权限,但要锁定其他 API 和资源。例如,您可以创建一个 IAM 策略,该策略允许委托人创建 Data Catalog 资源以及创建和运行工作流程,但不允许创建Amazon Glue连接或用户定义的函数。请参阅此部分后面的示例。
重要

请注意以下事项:

  • 默认情况下,Lake Formation 具有仅使用 IAM 访问控制已启用与现有设置兼容Amazon Glue数据目录行为。我们建议您在过渡到使用 Lake Formation 权限后禁用这些设置。有关更多信息,请参阅 更改数据湖的默认安全设置

  • 数据湖管理员和数据库创建者具有隐含的 Lake Formation 权限,您必须了解这些权限。有关更多信息,请参阅 Lake Formation 的