Erteilen von Data Lake-Berechtigungen mithilfe der LF-TBAC-Methode

Sie können Prinzipalen die DESCRIBE und ASSOCIATE Lake Formation Formation-Berechtigungen für LF-Tags gewähren, sodass sie die LF-Tags anzeigen und sie Datenkatalogressourcen (Datenbanken, Tabellen, Ansichten und Spalten) zuweisen können. Wenn LF-Tags Datenkatalogressourcen zugewiesen werden, können Sie die Tag-Based Access Control-Methode (LF-TBAC) von Lake Formation verwenden, um diese Ressourcen zu sichern. Weitere Informationen finden Sie unter Tag-basierte Zugangskontrolle von Lake Formation.

Zunächst kann nur der Data Lake-Administrator diese Berechtigungen gewähren. Wenn der Data Lake-Administrator diese Berechtigungen mit der Option „Gewähren“ erteilt, können sie von anderen Prinzipalen erteilt werden. Die ASSOCIATE Berechtigungen DESCRIBE und werden unter erklärt. Bewährte Methoden und Überlegungen zur Tag-basierten Zugriffskontrolle von Lake Formation

Sie können die DESCRIBE und ASSOCIATE -Berechtigungen für ein LF-Tag einem externen AWS Konto gewähren. Ein Data Lake-Administrator in diesem Konto kann diese Berechtigungen dann anderen Prinzipalen im Konto gewähren. Principals, denen der Data Lake-Administrator des externen Kontos die ASSOCIATE Berechtigung erteilt, können dann LF-Tags den Datenkatalogressourcen zuweisen, die Sie mit ihrem Konto geteilt haben.

Bei der Gewährung an ein externes Konto müssen Sie die Option „Gewähren“ angeben.

Sie können Berechtigungen für LF-Tags mithilfe der AWS Lake Formation Konsole, der API oder der AWS Command Line Interface ()AWS CLI gewähren.

Weitere Informationen finden Sie auch unter

• Verwaltung von LF-Tag-Wertberechtigungen

• Verwaltung von LF-Tags für die Zugriffskontrolle auf Metadaten

• Tag-basierte Zugangskontrolle von Lake Formation

Erteilen von Datenkatalogberechtigungen

Verwenden Sie die Lake Formation-Konsole oder AWS CLI gewähren Sie Lake Formation Formation-Berechtigungen für Datenkatalogdatenbanken, Tabellen, Ansichten und Spalten mithilfe der Tag-Based Access Control (LF-TBAC) -Methode von Lake Formation.

Console

In den folgenden Schritten wird erklärt, wie Sie mithilfe der Tag-Based Access Control (LF-TBAC) -Methode (Lake Formation, Tag-Based Access Control) und der Seite Data-Lake-Berechtigungen gewähren in der Lake Formation Formation-Konsole Berechtigungen gewähren. Die Seite ist in die folgenden Abschnitte unterteilt:

• Principals — Die Benutzer, Rollen und Benutzer, denen Berechtigungen erteilt werden AWS-Konten sollen.

• LF-Tags oder Katalogressourcen — Die Datenbanken, Tabellen oder Ressourcenlinks, für die Berechtigungen erteilt werden sollen.

• Genehmigungen — Die Lake Formation erteilt Genehmigungen.

1. Öffnen Sie die Seite Data Lake-Berechtigungen gewähren.

   Öffnen Sie die AWS Lake Formation Konsole unter https://console.aws.amazon.com/lakeformation/und melden Sie sich als Data Lake-Administrator oder als Benutzer an, dem Lake Formation Formation-Berechtigungen für Data Catalog-Ressourcen über LF-TBAC mit der Grant-Option erteilt wurden.

   Wählen Sie im Navigationsbereich unter Berechtigungen die Option Data Lake-Berechtigungen aus. Wählen Sie dann Grant (Erteilen) aus.

2. Geben Sie die Prinzipale an.

   Wählen Sie im Abschnitt Principals einen Prinzipaltyp aus und geben Sie dann die Principals an, denen Berechtigungen erteilt werden sollen.

   

   IAM-Benutzer und -Rollen

   Wählen Sie einen oder mehrere Benutzer oder Rollen aus der Liste der IAM-Benutzer und -Rollen aus.

   IAM Identity Center

   Wählen Sie einen oder mehrere Benutzer oder aus der Liste Benutzer und Gruppen aus.

   SAML-Benutzer und Gruppen

   Geben Sie für SAML- und QuickSight Amazon-Benutzer und -Gruppen einen oder mehrere Amazon-Ressourcennamen (ARNs) für Benutzer oder Gruppen ein, die über SAML verbunden sind, oder ARNs für QuickSight Amazon-Benutzer oder -Gruppen. Drücken Sie nach jedem ARN die Eingabetaste.

   Informationen zur Konstruktion des finden Sie ARNs unterLake Formation erteilt und widerruft AWS CLI Befehle.

   Anmerkung

   Die Integration von Lake Formation mit Amazon QuickSight wird nur für die Amazon QuickSight Enterprise Edition unterstützt.

   Externe Konten

   Geben Sie für AWS-Konten AWS Organisation oder IAM-Principal eine oder mehrere gültige Organisationen AWS-Konto IDs IDs, Organisationseinheiten IDs oder ARN für den IAM-Benutzer oder die IAM-Rolle ein. Drücken Sie nach jeder ID die Eingabetaste.

   Eine Organisations-ID besteht aus einem „o-“, gefolgt von 10 bis 32 Kleinbuchstaben oder Ziffern.

   Eine Organisationseinheit-ID beginnt mit „ou-“, gefolgt von 4 bis 32 Kleinbuchstaben oder Ziffern (der ID des Stammes, der die Organisationseinheit enthält). Auf diese Zeichenfolge folgen ein zweiter Gedankenstrich „-“ und 8 bis 32 zusätzliche Kleinbuchstaben oder Ziffern.

3. Geben Sie die LF-Tags an.

   Stellen Sie sicher, dass die Option Ressourcen, denen LF-Tags zugeordnet sind, ausgewählt ist. Wählen Sie LF-Tag-Schlüssel-Wert-Paare oder Gespeicherte LF-Tag-Ausdrücke.

   1. Wenn Sie die Option LF-Tag-Schlüssel-Wert-Paare wählen, wählen Sie die Schlüssel und Werte aus.

      Wenn Sie mehr als einen Wert wählen, erstellen Sie einen LF-Tag-Ausdruck mit einem Operator. OR Das bedeutet, dass Ihnen Berechtigungen für die Ressource erteilt werden, wenn einer der LF-Tag-Werte mit einem LF-Tag übereinstimmt, der einer Datenkatalogressource zugewiesen ist.

      

   2. (Optional) Wählen Sie erneut „LF-Tag-Schlüssel-Wert-Paar hinzufügen“, um ein anderes LF-Tag anzugeben.

      Wenn Sie mehr als ein LF-Tag angeben, erstellen Sie einen LF-Tag-Ausdruck mit einem Operator. AND Dem Prinzipal werden nur dann Berechtigungen für eine Datenkatalogressource gewährt, wenn der Ressource für jedes LF-Tag im LF-Tag-Ausdruck ein passendes LF-Tag zugewiesen wurde.

   3. Wählen Sie die Option Als neuen Ausdruck speichern, um den Ausdruck wiederzuverwenden.

      Sie Create LF-Tag expression müssen Ausdrücke speichern.

      Weitere Hinweise zu LF-Tag-Ausdrücken finden Sie unter. Verwaltung von LF-Tag-Ausdrücken für die Zugriffskontrolle auf Metadaten

4. Geben Sie die Berechtigungen an.

   Geben Sie die Berechtigungen an, die Sie dem Prinzipal für entsprechende Datenkatalogressourcen gewähren möchten. Passende Ressourcen sind Ressourcen, denen LF-Tags zugewiesen wurden, die einem der LF-Tag-Ausdrücke entsprechen, die dem Prinzipal erteilt wurden.

   Sie können die Berechtigungen angeben, die für übereinstimmende Datenbanken, übereinstimmende Tabellen und übereinstimmende Ansichten gewährt werden sollen.

   

   Wählen Sie unter Datenbankberechtigungen die Datenbankberechtigungen aus, die Sie dem Prinzipal für passende Datenbanken gewähren möchten.

   Wählen Sie unter Tabellenberechtigungen die Tabellen- oder Anzeigeberechtigungen aus, die dem Prinzipal für übereinstimmende Tabellen und Ansichten erteilt werden sollen.

   Sie können auch SelectDescribe, und Drop Berechtigungen aus den Tabellenberechtigungen auswählen, die auf Ansichten angewendet werden sollen.

5. Wählen Sie Grant (Erteilen).

AWS CLI

Sie können die Methode AWS Command Line Interface (AWS CLI) und die Tag-Based Access Control (LF-TBAC) -Methode (Lake Formation) verwenden, um Lake Formation Formation-Berechtigungen für Data Catalog-Datenbanken, -Tabellen und -Spalten zu gewähren.

Erteilen von Data-Lake-Berechtigungen mithilfe der und der LF-TBAC-Methode AWS CLI

• Verwenden Sie den grant-permissions-Befehl.

  Im folgenden Beispiel wird dem Benutzer der LF-Tag-Ausdruck "module=*" (alle Werte des LF-Tag-Schlüssels) gewährt. module datalake_user1 Dieser Benutzer hat Zugriff auf alle passenden DatenbankenCREATE_TABLE, d. h. Datenbanken, denen das LF-Tag mit dem Schlüssel mit einem beliebigen Wert zugewiesen wurde. module

  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["*"]}]}}' 

  Im nächsten Beispiel wird dem Benutzer der LF-Tag-Ausdruck "" gewährt. (level=director) AND (region=west OR region=south) datalake_user1 Dieser Benutzer verfügt über die DROP Berechtigungen SELECTALTER, und mit der Grant-Option für übereinstimmende Tabellen, denen level=director sowohl als auch (oder) zugewiesen wurde. region=west region=south

  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" "DROP" --permissions-with-grant-option "SELECT" "ALTER" "DROP" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"TABLE","Expression": [{"TagKey": "level","TagValues": ["director"]},{"TagKey": "region","TagValues": ["west", "south"]}]}}'

  Im nächsten Beispiel wird dem Konto 1234-5678-9012 der LF-Tag-Ausdruck "module=orders" zugewiesen. AWS Der Data Lake-Administrator in diesem Konto kann dann den Prinzipalen in seinem Konto den Ausdruck "" module=orders gewähren. Diese Prinzipale sind dann CREATE_TABLE berechtigt, Datenbanken abzugleichen, die dem Konto 1111-2222-3333 gehören und mit dem Konto 1234-5678-9012 gemeinsam genutzt wurden, indem sie entweder die benannte Ressourcenmethode oder die LF-TBAC-Methode verwenden.

  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["orders"]}]}}'