Ändern der Standardeinstellungen für Ihren Data Lake - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ändern der Standardeinstellungen für Ihren Data Lake

Um die Abwärtskompatibilität mit zu gewährleistenAWS Glue, AWS Lake Formation verfügt über die folgenden anfänglichen Sicherheitseinstellungen:

  • Die Super Berechtigung wird der Gruppe IAMAllowedPrincipals für alle vorhandenen AWS Glue Datenkatalogressourcen erteilt.

  • Die Einstellungen „Nur IAM-Zugriffskontrolle verwenden“ sind für neue Datenkatalogressourcen aktiviert.

Diese Einstellungen bewirken, dass der Zugriff auf Datenkatalogressourcen und Amazon S3 S3-Standorte ausschließlich durch AWS Identity and Access Management (IAM-) Richtlinien gesteuert wird. Individuelle Genehmigungen für Lake Formation sind nicht gültig.

Die IAMAllowedPrincipals Gruppe umfasst alle IAM-Benutzer und -Rollen, denen aufgrund Ihrer IAM-Richtlinien Zugriff auf Ihre Datenkatalogressourcen gewährt wird. Die Super Berechtigung ermöglicht es einem Prinzipal, jeden unterstützten Lake Formation Formation-Vorgang in der Datenbank oder Tabelle auszuführen, für die sie erteilt wurde.

Gehen Sie wie folgt vor, um die Sicherheitseinstellungen so zu ändern, dass der Zugriff auf Datenkatalogressourcen (Datenbanken und Tabellen) über Lake Formation Formation-Berechtigungen verwaltet wird:

  1. Ändern Sie die Standardsicherheitseinstellungen für neue Ressourcen. Anweisungen finden Sie unter Ändern des Standardberechtigungsmodells oder Verwenden des Hybridzugriffsmodus.

  2. Ändern Sie die Einstellungen für vorhandene Datenkatalogressourcen. Anweisungen finden Sie unter AWS GlueDatenberechtigungen für das AWS Lake Formation Modell aktualisieren.

Ändern der Standardsicherheitseinstellungen mithilfe des Lake Formation PutDataLakeSettings API-Vorgangs

Sie können die Standardsicherheitseinstellungen auch mithilfe des Lake Formation PutDataLakeSettingsAPI-Vorgangs ändern. Diese Aktion verwendet als Argumente eine optionale Katalog-ID und eine DataLakeSettingsStruktur.

Um Metadaten und die zugrundeliegende Datenzugriffskontrolle durch Lake Formation für neue Datenbanken und Tabellen durchzusetzen, codieren Sie die DataLakeSettings Struktur wie folgt.

Anmerkung

<AccountID>Ersetzen Sie es durch eine gültige AWS Konto-ID und <Username>einen gültigen IAM-Benutzernamen. Sie können mehr als einen Benutzer als Data Lake-Administrator angeben.

{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ],
        "CreateDatabaseDefaultPermissions": [],
        "CreateTableDefaultPermissions": []
    }
}

Sie können die Struktur auch wie folgt codieren. Das Weglassen des CreateTableDefaultPermissions Parameters CreateDatabaseDefaultPermissions oder entspricht der Übergabe einer leeren Liste.

{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ]
    }
}

Durch diese Aktion werden der IAMAllowedPrincipals Gruppe effektiv alle Lake Formation Formation-Berechtigungen für neue Datenbanken und Tabellen entzogen. Wenn Sie eine Datenbank erstellen, können Sie diese Einstellung überschreiben.

Um Metadaten und die zugrundeliegende Datenzugriffskontrolle nur durch IAM für neue Datenbanken und Tabellen durchzusetzen, codieren Sie die DataLakeSettings Struktur wie folgt.

{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ],
        "CreateDatabaseDefaultPermissions": [
            {
                "Principal": {
                    "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"
                },
                "Permissions": [
                    "ALL"
                ]
            }
        ],
        "CreateTableDefaultPermissions": [
            {
                "Principal": {
                    "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"
                },
                "Permissions": [
                    "ALL"
                ]
            }
        ]
    }
}

Dadurch erhält die IAMAllowedPrincipals Gruppe Super Lake Formation die Erlaubnis, neue Datenbanken und Tabellen zu verwenden. Wenn Sie eine Datenbank erstellen, können Sie diese Einstellung überschreiben.

Anmerkung

In der vorherigen DataLakeSettings Struktur ist der einzig zulässige Wert für DataLakePrincipalIdentifier istIAM_ALLOWED_PRINCIPALS, und der einzig zulässige Wert für Permissions istALL.