Methoden für eine differenzierte Zugriffskontrolle

Bei einem Data Lake besteht das Ziel darin, eine differenzierte Zugriffskontrolle für Daten zu haben. In Lake Formation bedeutet dies eine detaillierte Zugriffskontrolle auf Datenkatalogressourcen und Amazon S3 S3-Standorte. Sie können eine detaillierte Zugriffskontrolle mit einer der folgenden Methoden erreichen.

Methode Genehmigungen für Lake Formation IAM-Berechtigungen Kommentare

Methode 1

Öffnen

Feinkörnig

Methode	Genehmigungen für Lake Formation	IAM-Berechtigungen	Kommentare
Methode 1	Öffnen	Feinkörnig	Dies ist die Standardmethode für die Abwärtskompatibilität mit. AWS Glue Offen bedeutet, dass die Sonderberechtigung der Gruppe gewährt `Super` wird`IAMAllowedPrincipals`, die automatisch erstellt `IAMAllowedPrincipals` wird und alle IAM-Benutzer und -Rollen einschließt, denen aufgrund Ihrer IAM-Richtlinien Zugriff auf Ihre Datenkatalogressourcen gewährt wird. Die `Super` Berechtigung ermöglicht es einem Prinzipal, jeden unterstützten Lake Formation Formation-Vorgang in der Datenbank oder Tabelle durchzuführen, für die sie erteilt wurde. Dadurch wird der Zugriff auf Datenkatalogressourcen und Amazon S3 S3-Standorte ausschließlich durch IAM-Richtlinien gesteuert. Weitere Informationen finden Sie unter Ändern der Standardeinstellungen für Ihren Data Lake und AWS GlueDatenberechtigungen für das AWS Lake Formation Modell aktualisieren. Feinkörnig bedeutet, dass IAM-Richtlinien den gesamten Zugriff auf Datenkatalogressourcen und auf einzelne Amazon S3 S3-Buckets steuern. In der Lake-Formation-Konsole wird diese Methode als Nur IAM-Zugriffskontrolle verwenden angezeigt.
Methode 2	Fein abgestuft	Grobkörnig	Dies ist die empfohlene Methode. Detaillierter Zugriff bedeutet, dass einzelnen Prinzipalen eingeschränkte Lake Formation Formation-Berechtigungen für Datenkatalogressourcen, Amazon S3 S3-Standorte und die zugrunde liegenden Daten an diesen Standorten gewährt werden. Grobkörnig bedeutet umfassendere Berechtigungen für einzelne Operationen und für den Zugriff auf Amazon S3 S3-Standorte. Eine grobe IAM-Richtlinie könnte beispielsweise beinhalten`"glue:"`, Lake Formation Formation-Berechtigungen zu überlassen`"glue:CreateTables"`, um zu kontrollieren, ob ein Principal Katalogobjekte erstellen kann oder nicht. `"glue:Create"` Es bedeutet auch, Principals Zugriff auf die APIs zu gewähren, die sie für ihre Arbeit benötigen, andere APIs und Ressourcen jedoch zu sperren. Sie könnten beispielsweise eine IAM-Richtlinie erstellen, die es einem Prinzipal ermöglicht, Datenkatalogressourcen zu erstellen und Workflows zu erstellen und auszuführen, die Erstellung von AWS Glue Verbindungen oder benutzerdefinierten Funktionen jedoch nicht ermöglicht. Die Beispiele finden Sie weiter unten in diesem Abschnitt.

Dies ist die Standardmethode für die Abwärtskompatibilität mit. AWS Glue

Offen bedeutet, dass die Sonderberechtigung der Gruppe gewährt Super wirdIAMAllowedPrincipals, die automatisch erstellt IAMAllowedPrincipals wird und alle IAM-Benutzer und -Rollen einschließt, denen aufgrund Ihrer IAM-Richtlinien Zugriff auf Ihre Datenkatalogressourcen gewährt wird. Die Super Berechtigung ermöglicht es einem Prinzipal, jeden unterstützten Lake Formation Formation-Vorgang in der Datenbank oder Tabelle durchzuführen, für die sie erteilt wurde. Dadurch wird der Zugriff auf Datenkatalogressourcen und Amazon S3 S3-Standorte ausschließlich durch IAM-Richtlinien gesteuert. Weitere Informationen finden Sie unter Ändern der Standardeinstellungen für Ihren Data Lake und AWS GlueDatenberechtigungen für das AWS Lake Formation Modell aktualisieren.
Feinkörnig bedeutet, dass IAM-Richtlinien den gesamten Zugriff auf Datenkatalogressourcen und auf einzelne Amazon S3 S3-Buckets steuern.

In der Lake-Formation-Konsole wird diese Methode als Nur IAM-Zugriffskontrolle verwenden angezeigt.

Methode 2

Fein abgestuft

Grobkörnig

Dies ist die empfohlene Methode.

Detaillierter Zugriff bedeutet, dass einzelnen Prinzipalen eingeschränkte Lake Formation Formation-Berechtigungen für Datenkatalogressourcen, Amazon S3 S3-Standorte und die zugrunde liegenden Daten an diesen Standorten gewährt werden.
Grobkörnig bedeutet umfassendere Berechtigungen für einzelne Operationen und für den Zugriff auf Amazon S3 S3-Standorte. Eine grobe IAM-Richtlinie könnte beispielsweise beinhalten"glue:*", Lake Formation Formation-Berechtigungen zu überlassen"glue:CreateTables", um zu kontrollieren, ob ein Principal Katalogobjekte erstellen kann oder nicht. "glue:Create*" Es bedeutet auch, Principals Zugriff auf die APIs zu gewähren, die sie für ihre Arbeit benötigen, andere APIs und Ressourcen jedoch zu sperren. Sie könnten beispielsweise eine IAM-Richtlinie erstellen, die es einem Prinzipal ermöglicht, Datenkatalogressourcen zu erstellen und Workflows zu erstellen und auszuführen, die Erstellung von AWS Glue Verbindungen oder benutzerdefinierten Funktionen jedoch nicht ermöglicht. Die Beispiele finden Sie weiter unten in diesem Abschnitt.

Wichtig

Achten Sie auf Folgendes:

Standardmäßig sind in Lake Formation die Einstellungen Nur IAM-Zugriffskontrolle verwenden aktiviert, um die Kompatibilität mit dem bestehenden AWS Glue Datenkatalogverhalten zu gewährleisten. Wir empfehlen, dass Sie diese Einstellungen deaktivieren, nachdem Sie zur Verwendung von Lake Formation Formation-Berechtigungen übergegangen sind. Weitere Informationen finden Sie unter Ändern der Standardeinstellungen für Ihren Data Lake.
Data Lake-Administratoren und Datenbankersteller verfügen über implizite Lake Formation Formation-Berechtigungen, die Sie verstehen müssen. Weitere Informationen finden Sie unter Implizite Lake Formation Formation-Berechtigungen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Überblick über die Genehmigungen für Lake Formation

Zugriffskontrolle für Metadaten