本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在生产者账户中配置Lake Formation 数据目录设置
开始本教程之前,您必须具有Amazon Web Services 账户您可以使用登录的Amazon Identity and Access Management具有正确权限的 (IAM) 用户。有关更多信息,请参阅 注册Amazon 和 创建 IAM 管理员用户。
本教程假定您已熟悉 IAM。有关 IAM 的信息,请参阅IAM 用户指南.
在生产者账户中配置Lake Formation 数据目录设置
在本教程中,具有源表的账户称为创建者账户,需要访问源表的账户称为使用者账户。
Lake Formation 提供了自己的权限管理模型。为了保持与 IAM 权限模型的向后兼容性,Super已向该组授予权限IAMAllowedPrincipals所有现有的Amazon Glue Data Catalog默认情况下是资源。另外,仅使用 IAM 访问控制设置已为新的数据目录资源启用。本教程使用 Lake Formation 权限进行细粒度访问控制,并使用 IAM 策略进行粗粒度访问控制。有关详细信息,请参阅 用于精细访问控制的方法。因此,在使用Amazon CloudFormation模板进行快速设置,你需要在生产者账户中更改 Lake Formation 数据目录设置。
此设置会影响所有新创建的数据库和表,因此我们强烈建议您在非生产帐户或新帐户中完成本教程。此外,如果您使用的是共享帐户(例如公司的开发账户),请确保它不会影响其他资源。如果您希望保留默认安全设置,则在与其他账户共享资源时必须完成一个额外步骤,在该步骤中撤消默认设置超级权限来自IAMAllowedPrincipals在数据库或表上。我们将在本教程的后面部分中讨论细节。
要在创建者账户中配置 Lake Foration 数据目录设置,请完成以下步骤:
登录到Amazon Web Services Management Console以管理员用户身份或作为 Lake Formation 用户使用制作者账户
PutDataLakeSettingsAPI 权限。-
在 Lake Formation 控制台上的导航窗格中的Data Catalog,选择设置.
-
取消选择仅对新数据库使用 IAM 访问控制和仅对新数据库中的新表使用 IAM 访问控制
选择 Save(保存)。
此外,您可以删除
CREATE_DATABASE的权限IAMAllowedPrincipals下管理角色和任务、数据库创建者. 只有这样,您才能通过 Lake Formation 权限控制谁可以创建新数据库。