关于升级到 Lake Formation 权限模型 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

关于升级到 Lake Formation 权限模型

为了保持向后兼容性Amazon Glue,默认情况下,Amazon Lake FormationGRANTSuper的许可IAMAllowedPrincipals对所有现有内容进行分组Amazon Glue数据目录资源,并授予Super对新数据目录资源的权限,如果仅使用 IAM 访问控制设置已启用。这实际上导致对数据目录资源和 Amazon S3 位置的访问完全由以下人员控制Amazon Identity and Access Management(IAM) 策略。这些区域有:IAMAllowedPrincipals群组包括您的 IAM 策略允许访问您的数据目录对象的所有 IAM 用户和角色。这些区域有:Super权限使委托人能够对被授予权限的数据库或表执行所有支持的 Lake Formation 操作。

您可以开始使用 Lake Formation 来管理对数据的访问,方法是在 Lake Formation 中注册现有数据目录资源的位置。开始使用现有的 Lake Formation 权限Amazon Glue数据目录数据库和表,您必须执行以下操作:

  1. 确定您的用户对每个数据库和表的现有 IAM 权限。

  2. 在 Lake Formation 中复制这些权限。

  3. 对于每个包含数据的 Amazon S3 位置:

    1. 撤OKEESuper来自的许可IAMAllowedPrincipals对引用该位置的每个数据目录资源进行分组。

    2. 在 Lake Formation 中注册该地点。

  4. 清理现有的精细访问控制 IAM 策略。

重要

要在过渡数据目录的过程中添加新用户,必须进行精细设置Amazon GlueIAM 中的权限和以前一样。您还必须按照本节所述在 Lake Formation 中复制这些权限。如果新用户拥有本指南中描述的粗略的 IAM 策略,则他们可以列出任何具有Super已访问权限IAMAllowedPrincipals. 他们还可以查看这些资源的元数据。但是,除非您向 Lake Formation 注册 Amazon S3 位置,否则他们无法自行查询数据。

按照本节中的步骤升级到 Lake Formation 权限模型。从这里开始第 1 步:列出用户和角色的现有权限.