本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Lake Formation 访问控制概述
中的访问控制Amazon Lake Formation分为以下两个区域:
-
元数据访问控制— 数据目录资源的权限 (数据目录权限)。
使用这些权限,主体可以创建、读取、更新和删除数据目录中的元数据数据库和表。
-
底层数据访问控制— 使用 Amazon SSimple Storage Service (Amazon S3) vic数据访问权限和数据位置权限)。
-
数据访问权限使主体能够读取和写入数据隐含的Amazon S3 位置-数据目录资源所指向的数据。
-
数据位置位置权限支持委托人创建和更改指向特定 Amazon S3 位置的元数据数据库和表。
-
对于这两个区域,Lake Formation 结合使用 Lake Formation 权限和Amazon Identity and Access Management(IAM) 权限。IAM 权限模型由 IAM 策略组成。Lake Formation 权限模型是作为 DBMS 风格的 GRANT/REVOKE 命令实现的,例如Grant SELECT on
tableName to userName.
当委托人请求访问数据目录资源或基础数据时,为了使请求成功,它必须通过 IAM 和 Lake Formation 的权限检查。
Lake Formation 权限控制对数据目录资源、Amazon S3 位置以及这些位置的基础数据的访问。IAM 权限控制对Lake Formation 的访问和Amazon GlueAPI 和资源。因此,尽管你可能拥有在数据目录中创建元数据表的 Lake Formation 权限(CREATE_TABLE),如果您没有对 IAM 权限,则您的操作将失败glue:CreateTableAPI。(为什么选择 aglue:权限? 因为Lake Formation 使用Amazon Glue数据目录。)
Lake Formation 权限仅适用于授予这些权限的区域。