使用基于 Lake Formation 标签的访问控制来管理数据湖 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用基于 Lake Formation 标签的访问控制来管理数据湖

成千上万的客户正在构建 PB 级的数据湖Amazon. 这些客户中有许多使用Amazon Lake Formation以便在整个组织内轻松构建和共享他们的数据湖。随着表和用户数量的增加,数据管理员和管理员正在寻求轻松地大规模管理数据湖权限的方法。基于 Lake Formation 标签的访问控制 (LF-TBAC) 通过允许数据管理员创建LF 标签(基于其数据分类和本体),然后可以将其附加到资源。

LF-TBAC 是一种授权策略,基于属性来定义权限。在 Lake Formation 中,这些属性称为 LF 标签。您可以将 LF 标签附加到数据目录资源和 Lake Formation 主体。数据湖管理员可以使用 LF 标签分配和撤消对Lake Formation 资源的权限。有关的更多信息,请参阅。Lake Formation 标签访问控制.

本教程演示如何使用创建基于 Lake Formation 标签的访问控制策略Amazon公有数据集。此外,它还演示了如何查询具有与之关联的基于 Lake Formation 标记的访问策略的表、数据库和列。

您可以将 LF-TBAC 用于以下使用案例:

  • 您有大量表和委托人需要数据湖管理员授予访问权限

  • 您希望根据本体对数据进行分类,并根据分类授予权限

  • 数据湖管理员希望以松散耦合的方式动态分配权限

以下是使用 LF-TBAC 配置权限的概要步骤:

  1. 数据管家用两个 LF 标签来定义标签本体:ConfidentialSensitive. DATAConfidential=True具有更严格的访问控制。DATASensitive=True需要分析师进行具体分析。

  2. 数据管理员为数据工程师分配不同的权限级别,以构建具有不同 LF 标签的表。

  3. 数据工程师建立了两个数据库:tag_databasecol_tag_database. 中的所有表tag_database配置为Confidential=True. 中的所有表col_tag_database配置为Confidential=False. 表的某些列位于col_tag_database被标记为Sensitive=True以满足特定的分析需求。

  4. 数据工程师向分析师授予具有特定表达式条件的表的读取权限Confidential=TrueConfidential=FalseSensitive=True.

  5. 通过这种配置,数据分析师可以专注于使用正确的数据进行分析。

主题