Ändern der Standardsicherheitseinstellungen für Ihren Data Lake - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ändern der Standardsicherheitseinstellungen für Ihren Data Lake

Um Abwärtskompatibilität mitAWS Glue,AWS Lake Formationhat die folgenden anfänglichen Sicherheitseinstellungen:

  • DieSuperder Gruppe wird die Berechtigung erteiltIAMAllowedPrincipalsauf allen vorhandenenAWS GlueDatenCatalog-Ressourcen.

  • Die Einstellungen „Nur IAM-Zugriffskontrolle verwenden“ sind für neue Datenkatalogressourcen aktiviert.

Diese Einstellungen bewirken effektiv, dass der Zugriff auf Data Catalog-Ressourcen und Amazon S3 S3-Standorte ausschließlich vonAWS Identity and Access Management(IAM) -Richtlinien. Individuelle Lake Formation Formation-Genehmigungen sind nicht in Kraft.

DieIAMAllowedPrincipalsGruppe umfasst alle IAM-Benutzer und -Rollen, die aufgrund Ihrer IAM-Richtlinien Zugriff auf Ihre Datenkatalogressourcen erhalten. DieSuperDie Berechtigung ermöglicht es einem Prinzipal, jeden unterstützten Lake Formation Formation-Vorgang in der Datenbank oder Tabelle auszuführen, für die er gewährt wurde.

Gehen Sie wie folgt vor, um die Sicherheitseinstellungen so zu ändern, dass der Zugriff auf Datenkatalogressourcen (Datenbanken und Tabellen) durch Lake Formation Formation-Berechtigungen verwaltet wird:

  1. Ändern Sie die Standardsicherheitseinstellungen für neue Ressourcen. Detaillierte Anweisungen finden Sie unter Ändern Sie das Standardberechtigungsmodell.

  2. Ändern Sie die Einstellungen für vorhandene Datenkatalogressourcen. Detaillierte Anweisungen finden Sie unter Upgraden vonAWS GlueDatenberechtigungen für dieAWS Lake FormationModell.

Ändern der Standardsicherheitseinstellungen mithilfe der Lake FormationPutDataLakeSettingsAPI-Operation

Außerdem können Sie die Standardsicherheitseinstellungen mithilfe von Lake Formation ändern.PutDataLakeSettingsAktion (Python: put_data_lake_settings). Diese Aktion verwendet als Argumente eine optionale Katalog-ID und eineDataLakeStruktur der Einstellungen.

Um Metadaten und die zugrunde liegende Datenzugriffskontrolle durch Lake Formation für neue Datenbanken und Tabellen durchzusetzen, kodieren Sie denDataLakeSettings-Struktur für wie folgt:

Anmerkung

Ersetzen<AccountID>mit einer gültigenAWS-Konto-ID und<Username>mit einem gültigen IAM-Benutzernamen. Sie können mehr als einen Benutzer als Data Lake-Administrator angeben.

{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>" } ], "CreateDatabaseDefaultPermissions": [], "CreateTableDefaultPermissions": [] } }

Sie können die Struktur auch wie folgt codieren. Lassen Sie wegCreateDatabaseDefaultPermissionsoderCreateTableDefaultPermissions-Parameter entspricht der Übergabe einer leeren Liste.

{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>" } ] } }

Diese Aktion widerruft effektiv alle Lake Formation Formation-Berechtigungen derIAMAllowedPrincipalsGruppe in neuen Datenbanken und Tabellen. Wenn Sie eine Datenbank erstellen, können Sie diese Einstellung überschreiben.

Um Metadaten und die zugrunde liegende Datenzugriffskontrolle nur durch IAM für neue Datenbanken und Tabellen durchzusetzen, codieren Sie denDataLakeSettings-Struktur für wie folgt:

{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>" } ], "CreateDatabaseDefaultPermissions": [ { "Principal": { "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS" }, "Permissions": [ "ALL" ] } ], "CreateTableDefaultPermissions": [ { "Principal": { "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS" }, "Permissions": [ "ALL" ] } ] } }

Dies gewährt dieSuperLake Formation Erlaubnis zumIAMAllowedPrincipalsGruppe in neuen Datenbanken und Tabellen. Wenn Sie eine Datenbank erstellen, können Sie diese Einstellung überschreiben.

Anmerkung

Im vorhergehendenDataLakeSettings-Struktur, der einzig zulässige Wert fürDataLakePrincipalIdentifieristIAM_ALLOWED_PRINCIPALSund der einzig zulässige Wert fürPermissionsistALL.