Erteilen von Data Lake-Berechtigungen mithilfe der LF-TBAC-Methode - AWS Lake Formation
Erteilen von Datenkatalogberechtigungen mithilfe der LF-TBAC-Methode

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erteilen von Data Lake-Berechtigungen mithilfe der LF-TBAC-Methode

Sie können Prinzipalen die DESCRIBE und ASSOCIATE Lake Formation Formation-Berechtigungen für LF-Tags gewähren, sodass sie die LF-Tags anzeigen und sie Datenkatalogressourcen (Datenbanken, Tabellen, Ansichten und Spalten) zuweisen können. Wenn LF-Tags Datenkatalogressourcen zugewiesen werden, können Sie die Tag-Based Access Control-Methode (LF-TBAC) von Lake Formation verwenden, um diese Ressourcen zu sichern. Weitere Informationen finden Sie unter Tag-basierte Zugangskontrolle von Lake Formation.

Zunächst kann nur der Data Lake-Administrator diese Berechtigungen gewähren. Wenn der Data Lake-Administrator diese Berechtigungen mit der Grant-Option erteilt, können sie von anderen Principals erteilt werden. Die ASSOCIATE Berechtigungen DESCRIBE und werden unter erklärt. Bewährte Methoden und Überlegungen zur Tag-basierten Zugriffskontrolle von Lake Formation

Sie können die DESCRIBE und ASSOCIATE -Berechtigungen für ein LF-Tag einem externen AWS Konto gewähren. Ein Data Lake-Administrator in diesem Konto kann diese Berechtigungen dann anderen Prinzipalen im Konto gewähren. Principals, denen der Data Lake-Administrator des externen Kontos die ASSOCIATE Berechtigung erteilt, können dann LF-Tags den Datenkatalogressourcen zuweisen, die Sie mit ihrem Konto geteilt haben.

Bei der Gewährung an ein externes Konto müssen Sie die Option „Gewähren“ angeben.

Sie können Berechtigungen für LF-Tags mithilfe der AWS Lake Formation Konsole, der API oder der AWS Command Line Interface ()AWS CLI gewähren.

Weitere Informationen finden Sie auch unter

Erteilen von Datenkatalogberechtigungen

Verwenden Sie die Lake Formation-Konsole oder AWS CLI gewähren Sie Lake Formation Formation-Berechtigungen für Datenkatalogdatenbanken, Tabellen, Ansichten und Spalten mithilfe der Tag-Based Access Control (LF-TBAC) -Methode von Lake Formation.

Console

In den folgenden Schritten wird erklärt, wie Sie mithilfe der Tag-Based Access Control (LF-TBAC) -Methode (Lake Formation, Tag-Based Access Control) und der Seite Data-Lake-Berechtigungen gewähren in der Lake Formation Formation-Konsole Berechtigungen gewähren. Die Seite ist in die folgenden Abschnitte unterteilt:

  • Principals — Die Benutzer, Rollen und Benutzer, denen Berechtigungen erteilt werden AWS-Konten sollen.

  • LF-Tags oder Katalogressourcen — Die Datenbanken, Tabellen oder Ressourcenlinks, für die Berechtigungen erteilt werden sollen.

  • Genehmigungen — Die Lake Formation erteilt Genehmigungen.

  1. Öffnen Sie die Seite Data Lake-Berechtigungen gewähren.

    Öffnen Sie die AWS Lake Formation Konsole unter https://console.aws.amazon.com/lakeformation/ und melden Sie sich als Data Lake-Administrator oder als Benutzer an, dem Lake Formation Formation-Berechtigungen für Data Catalog-Ressourcen über LF-TBAC mit der Grant-Option erteilt wurden.

    Wählen Sie im Navigationsbereich unter Berechtigungen die Option Data Lake-Berechtigungen aus. Wählen Sie dann Grant aus.

  2. Geben Sie die Hauptbenutzer an.

    Wählen Sie im Abschnitt Principals einen Prinzipaltyp aus und geben Sie dann die Principals an, denen Berechtigungen erteilt werden sollen.

    Der Abschnitt Principals enthält vier Kacheln, die im folgenden Text benannt werden. Jede Kachel enthält eine Optionsschaltfläche und Text. Die Kachel „IAM Identity Center“ ist ausgewählt, und die Dropdownliste „Benutzer und Gruppen“ befindet sich unter den Kacheln.
    IAM-Benutzer und -Rollen

    Wählen Sie einen oder mehrere Benutzer oder Rollen aus der Liste der IAM-Benutzer und -Rollen aus.

    IAM Identity Center

    Wählen Sie einen oder mehrere Benutzer oder aus der Liste Benutzer und Gruppen aus.

    SAML-Benutzer und -Gruppen

    Geben Sie für SAML- und QuickSight Amazon-Benutzer und -Gruppen einen oder mehrere Amazon-Ressourcennamen (ARNs) für über SAML verbundene Benutzer oder Gruppen oder ARNs für Amazon-Benutzer oder -Gruppen ein. QuickSight Drücken Sie nach jedem ARN die Eingabetaste.

    Informationen zur Erstellung der ARNs finden Sie unterLake Formation erteilt und widerruft AWS CLI Befehle.

    Anmerkung

    Die Integration von Lake Formation mit Amazon QuickSight wird nur für die Amazon QuickSight Enterprise Edition unterstützt.

    Externe Konten

    Geben Sie für AWS-Konten AWS Organisation oder IAM-Principal eine oder mehrere gültige AWS-Konto IDs, Organisations-IDs, Organisationseinheiten-IDs oder ARN für den IAM-Benutzer oder die IAM-Rolle ein. Drücken Sie nach jeder ID die Eingabetaste.

    Eine Organisations-ID besteht aus „o-“, gefolgt von 10 bis 32 Kleinbuchstaben oder Ziffern.

    Eine Organisationseinheit-ID beginnt mit „ou-“, gefolgt von 4 bis 32 Kleinbuchstaben oder Ziffern (der ID des Stammes, der die Organisationseinheit enthält). Auf diese Zeichenfolge folgen ein zweiter Gedankenstrich „-“ und 8 bis 32 zusätzliche Kleinbuchstaben oder Ziffern.

  3. Geben Sie die LF-Tags an.

    Stellen Sie sicher, dass die Option Ressourcen, denen LF-Tags zugeordnet sind, ausgewählt ist. Wählen Sie LF-Tag hinzufügen.

    1. Wählen Sie einen LF-Tag-Schlüssel und Werte aus.

      Wenn Sie mehr als einen Wert wählen, erstellen Sie einen LF-Tag-Ausdruck mit einem Operator. OR Das bedeutet, dass Ihnen Berechtigungen für die Ressource erteilt werden, wenn einer der LF-Tag-Werte mit einem LF-Tag übereinstimmt, der einer Datenkatalogressource zugewiesen ist.

      Der Bereich LF-Tag oder Katalogressourcen enthält zwei horizontal angeordnete Kacheln, wobei jede Kachel ein Optionsfeld und einen beschreibenden Text enthält. Die Optionen lauten Ressourcen, denen LF-Tags zugeordnet sind (empfohlen), und Benannte Datenkatalogressourcen. Ressourcen, denen LF-Tags zugeordnet sind, sind ausgewählt. Unter den Kacheln befinden sich ein Schlüsselfeld und ein Wertefeld, die horizontal angeordnet sind. Das Schlüsselfeld enthält „Modul“ und das Feld Werte ist eine Dropdownliste mit drei Einträgen: Bestellungen, Verkäufe und Kunden. Jedem Eintrag ist ein Kontrollkästchen zugeordnet. Das Kontrollkästchen für Kunden ist aktiviert. Rechts neben diesen beiden Feldern befindet sich die Schaltfläche Entfernen. Unten befindet sich die Schaltfläche LF-Tag hinzufügen, die angibt, dass Sie eine weitere Zeile hinzufügen können, die die Felder Schlüssel und Werte sowie die Schaltfläche Entfernen enthält.

    2. (Optional) Wählen Sie erneut „LF-Tag hinzufügen“, um ein anderes LF-Tag anzugeben.

      Wenn Sie mehr als ein LF-Tag angeben, erstellen Sie einen LF-Tag-Ausdruck mit einem Operator. AND Dem Prinzipal werden nur dann Berechtigungen für eine Datenkatalogressource gewährt, wenn der Ressource für jedes LF-Tag im LF-Tag-Ausdruck ein passendes LF-Tag zugewiesen wurde.

  4. Geben Sie die Berechtigungen an.

    Geben Sie die Berechtigungen an, die Sie dem Prinzipal für entsprechende Datenkatalogressourcen gewähren möchten. Passende Ressourcen sind Ressourcen, denen LF-Tags zugewiesen wurden, die einem der LF-Tag-Ausdrücke entsprechen, die dem Prinzipal erteilt wurden.

    Sie können die Berechtigungen angeben, die für übereinstimmende Datenbanken, übereinstimmende Tabellen und übereinstimmende Ansichten gewährt werden sollen.

    Zwei Abschnitte der Seite werden angezeigt. Der Abschnitt Datenbankberechtigungen enthält Kontrollkästchen für Datenbankberechtigungen und erteilbare Berechtigungen. Unter dem Abschnitt Datenbank werden im Abschnitt Tabellenberechtigungen die Kontrollkästchen für Tabellenberechtigungen und erteilbare Berechtigungen angezeigt.

    Wählen Sie unter Datenbankberechtigungen die Datenbankberechtigungen aus, die Sie dem Prinzipal für passende Datenbanken gewähren möchten.

    Wählen Sie unter Tabellenberechtigungen die Tabellen- oder Anzeigeberechtigungen aus, die dem Prinzipal für übereinstimmende Tabellen und Ansichten erteilt werden sollen.

    Sie können auch SelectDescribe, und Drop Berechtigungen aus den Tabellenberechtigungen auswählen, die auf Ansichten angewendet werden sollen.

  5. Wählen Sie Gewähren.

AWS CLI

Sie können die Methode AWS Command Line Interface (AWS CLI) und die Tag-Based Access Control (LF-TBAC) -Methode (Lake Formation) verwenden, um Lake Formation Formation-Berechtigungen für Data Catalog-Datenbanken, -Tabellen und -Spalten zu gewähren.

Erteilen von Data-Lake-Berechtigungen mithilfe der und der LF-TBAC-Methode AWS CLI

  • Verwenden Sie den grant-permissions-Befehl.

    Im folgenden Beispiel wird dem Benutzer der LF-Tag-Ausdruck "module=*" (alle Werte des LF-Tag-Schlüssels) gewährt. module datalake_user1 Dieser Benutzer hat Zugriff auf alle passenden DatenbankenCREATE_TABLE, d. h. Datenbanken, denen das LF-Tag mit dem Schlüssel mit einem beliebigen Wert zugewiesen wurde. module

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["*"]}]}}'

    Im nächsten Beispiel wird dem Benutzer der LF-Tag-Ausdruck "" gewährt. (level=director) AND (region=west OR region=south) datalake_user1 Dieser Benutzer verfügt über die DROP Berechtigungen SELECTALTER, und mit der Grant-Option für übereinstimmende Tabellen, denen level=director sowohl als auch (oder) zugewiesen wurde. region=west region=south

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" "DROP" --permissions-with-grant-option "SELECT" "ALTER" "DROP" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"TABLE","Expression": [{"TagKey": "level","TagValues": ["director"]},{"TagKey": "region","TagValues": ["west", "south"]}]}}'

    Im nächsten Beispiel wird dem Konto 1234-5678-9012 der LF-Tag-Ausdruck "module=orders" zugewiesen. AWS Der Data Lake-Administrator in diesem Konto kann dann den Prinzipalen in seinem Konto den Ausdruck "" module=orders gewähren. Diese Prinzipale sind dann CREATE_TABLE berechtigt, Datenbanken abzugleichen, die dem Konto 1111-2222-3333 gehören und mit dem Konto 1234-5678-9012 gemeinsam genutzt wurden, indem sie entweder die benannte Ressourcenmethode oder die LF-TBAC-Methode verwenden.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["orders"]}]}}'