本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
安全和访问控制Lake Formation 中的元数据和数据
Amazon Lake Formation提供了基于简单授予/撤销机制的权限模型。Lake Formation 权限与Amazon Identity and Access Management(IAM) 权限来控制对存储在数据湖中的数据的访问以及对描述该数据的元数据的访问。
在了解 Lake Formation 权限模型的详细信息之前,请先查看以下背景信息:
-
由 Lake Formation 管理的数据湖位于Amazon Simple Storage Service Service Service
-
Lake Formation 维护一个数据目录,其中包含有关要导入到数据湖中的源数据(例如日志和关系数据库中的数据)的元数据,以及有关 Amazon S3 中数据湖中的数据的元数据。元数据被组织为数据库和表。元数据表包含架构、位置、分区以及与其所代表的数据有关的其他信息。元数据数据库是表的集合。
-
Lake Formation 数据目录与所使用的数据目录相同Amazon Glue. 您可以使用Amazon Gluecrawler 来创建数据目录表,你可以使用Amazon Glue提取、转换和加载 (ETL) 作业来填充数据湖中的底层数据。
-
数据目录中的数据库和表称为数据目录资源. 数据目录中的表称为元数据表将它们与数据源中的表或 Amazon S3 中的表格数据区分开来。元数据表在 Amazon S3 或数据源中指向的数据称为基础数据.
-
一个校长是 IAM 用户或角色、Amazon 用户或角色,是亚马逊 QuickSight用户或组,通过 SAML 提供商向 Lake Formation 进行身份验证的用户或组,或者对于跨账户访问控制,Amazon账户 ID、组织 ID 或组织单位 ID。
-
Amazon Glue爬网程序创建元数据表,但您也可以使用 Lake Formation 控制台、API 或Amazon Command Line Interface(Amazon CLI)。创建元数据表时,您必须指定位置。在创建数据库时,该位置是可选的。表位置可以是 Amazon S3 位置或数据源位置,例如Amazon Relational Database Service (Amazon RDS) 数据库。数据库位置始终是 Amazon S3 位置。
-
与 Lake Formation 集成的服务(例如 Amazon Athena 和 Amazon Redshift)可以访问数据目录以获取元数据并检查正在运行的查询的授权。有关集成服务的完整列表,请参阅Amazon与 Lake Formation 的服务集成.