第 2 步:注册您的数据位置、创建 LF-tag 本体并授予权限 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 2 步:注册您的数据位置、创建 LF-tag 本体并授予权限

在此步骤中,数据管家用户使用两个 LF 标签定义标签本体:ConfidentialSensitive,并允许特定 IAM 委托人将新创建的 LF 标签附加到资源。

注册数据位置并定义 LF-tag 本体

  1. 以数据管家用户身份执行第一步(lf-data-steward) 以验证 Amazon S3 中的数据和Lake Formation 中的数据目录。

    1. 通过以下方式登录到 Lake Formation 控制台https://console.aws.amazon.com/lakeformation/如同lf-data-steward使用部署时使用的密码Amazon CloudFormation堆。

    2. 在导航窗格中的下Permissions (权限)选择管理角色和任务.

    3. 适用于IAM 用户和角色,选择用户lf-data-steward.

    4. 选择Save(保存)添加lf-data-stewardLake Formation 管理员。

  2. 接下来,更新数据目录设置以使用 Lake Formation 权限来控制目录资源,而不是基于 IAM 的访问控制。

    1. 在导航窗格中的下Data Catalog,选择设置.

    2. 取消选中仅对新数据库使用 IAM 访问控制.

    3. 取消选中仅对新数据库中的新表使用 IAM 访问控制.

    4. 单击保存

  3. 接下来,注册数据湖的数据位置。

    1. 在导航窗格中的下注册和摄取,选择数据湖位置.

    2. 适用于Amazon S3 路径,输入s3://lf-tagbased-demo-Account-ID.

    3. 适用于IAMrole保留默认值AWSServiceRoleForLakeFormationDataAccess照原样。

    4. 选择注册位置.

  4. 接下来,通过定义一个 LF-tag 来创建本体。

    1. UNDERPermissions (权限)在导航窗格中的下管理角色,选择LF 标签。.

    2. 选择添加 LF 标签.

    3. 对于 Key(键),输入 Confidential

    4. 适用于,添加TrueFalse.

    5. 选择添加 LF-tag.

    6. 重复这些步骤以创建lf-tag Sensitive有值True.

    你已经创建了所有必需的LF 标签本练习。

向 IAM 用户授予权限

  1. 接下来,让特定 IAM 委托人能够将新创建的 LF 标签附加到资源。

    1. UNDERPermissions (权限)在导航窗格中的下管理角色,选择LF-Tag 权限.

    2. 选择 Grant(授权)。

    3. SelectIAM 用户和角色.

    4. 适用于IAM 用户和角色搜索并选择lf-data-engineer角色。

    5. LF-tag 权限范围部分,添加密钥Confidential有价值观TrueFalse,以及key Sensitive有价值的True.

    6. UNDERPermissions (权限)选择描述AAs为了LF-Tag 权限可授予权限。

    7. 选择 Grant(授权)。

  2. 接下来,授予权限lf-data-engineer在我们的数据目录和由创建的底层 Amazon S3 存储桶上创建数据库Amazon CloudFormation.

    1. UNDERPermissions (权限)在导航窗格中,选择管理角色.

    2. 数据库创建者部分,选择Grant.

    3. 适用于IAM 用户和角色,选择lf-data-engineer角色。

    4. 适用于目录权限,选择创建数据库.

    5. 选择 Grant(授权)。

  3. 接下来,授予对 Amazon S3 存储桶的权限(s3://lf-tagbased-demo-Account-ID)转到lf-data-engineer用户。

    1. 在导航窗格中,选择数据位置.

    2. 选择 Grant(授权)。

    3. Select我的账户.

    4. 适用于IAM 用户和角色,选择lf-data-engineer角色。

    5. 适用于存储位置,输入 Amazon S3 存储桶。Amazon CloudFormation模板(s3://lf-tagbased-demo-Account-ID).

    6. 选择 Grant(授权)。

  4. 下一步:Grantlf-data-engineer与关联的资源的可授予权限lf-tag表情Confidential=True.

    1. 在导航窗格中,选择数据权限.

    2. 选择 Grant(授权)。

    3. SelectIAM 用户和角色.

    4. 选择角色lf-data-engineer.

    5. LF-tag 或目录资源部分,选择LF 标签匹配的资源.

    6. 选择添加 LF-tag.

    7. 添加关键帧Confidential有有效值True.

    8. 数据库权限部分,选择描述为了数据库权限和可授予权限.

    9. 表和列权限部分,选择描述Select, 和更改代表这两者的表权限可授予权限.

    10. 选择 Grant(授权)。

  5. 下一步:Grantlf-data-engineer对与 LF-tag 表达式关联的资源的可授予权限Confidential=False.

    1. 在导航窗格中,选择数据权限.

    2. 选择 Grant(授权)。

    3. SelectIAM 用户和角色.

    4. 选择角色lf-data-engineer.

    5. SelectLF 标签匹配的资源.

    6. 选择添加 LF-tag.

    7. 添加关键帧Confidential有值False.

    8. 数据库权限部分,选择描述为了数据库权限可授予权限.

    9. 表和列权限部分中,不要选择任何内容。

    10. 选择 Grant(授权)。

  6. 接下来,我们授予lf-data-engineer与关联的资源的可授予权限lf-tag表情Confidential=FalseSensitive=True.

    1. 在导航窗格中,选择数据权限.

    2. 选择 Grant(授权)。

    3. SelectIAM 用户和角色.

    4. 选择角色lf-data-engineer.

    5. SelectLF 标签匹配的资源.

    6. 选择添加 LF-tag.

    7. 添加关键帧Confidential有值False.

    8. 选择添加 LF-tag.

    9. 添加关键帧Sensitive有值True.

    10. 数据库权限部分,选择描述为了数据库权限和可授予权限.

    11. 表和列权限部分,选择描述Select, 和更改代表这两者的表权限可授予权限.

    12. 选择 Grant(授权)。