Überblick über die Genehmigungen für Lake Formation - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überblick über die Genehmigungen für Lake Formation

Es gibt zwei Haupttypen von Berechtigungen in AWS Lake Formation:

  • Zugriff auf Metadaten — Berechtigungen für Datenkatalogressourcen (Datenkatalogberechtigungen).

    Diese Berechtigungen ermöglichen es Prinzipalen, Metadatendatenbanken und Tabellen im Datenkatalog zu erstellen, zu lesen, zu aktualisieren und zu löschen.

  • Zugrundeliegender Datenzugriff — Berechtigungen für Standorte in Amazon Simple Storage Service (Amazon S3) (Datenzugriffsberechtigungen und Datenstandortberechtigungen).

    • Data Lake-Berechtigungen ermöglichen es Prinzipalen, Daten zu lesen und an zugrunde liegende Amazon S3 S3-Standorte zu schreiben — Daten, auf die von Data Catalog-Ressourcen verwiesen wird.

    • Datenstandortberechtigungen ermöglichen es Prinzipalen, Metadatendatenbanken und Tabellen zu erstellen und zu ändern, die auf bestimmte Amazon S3 S3-Standorte verweisen.

Für beide Gebiete verwendet Lake Formation eine Kombination aus Lake Formation Formation-Berechtigungen und AWS Identity and Access Management (IAM) -Berechtigungen. Das IAM-Berechtigungsmodell besteht aus IAM-Richtlinien. Das Lake Formation Formation-Berechtigungsmodell ist als GRANT/REVOKE-Befehle im DBMS-Stil implementiert, wie z. Grant SELECT on tableName to userName

Wenn ein Principal eine Anfrage für den Zugriff auf Datenkatalogressourcen oder zugrunde liegende Daten stellt, muss er die Berechtigungsprüfungen sowohl von IAM als auch von Lake Formation bestehen, damit die Anfrage erfolgreich ist.

Die Anfrage eines Anforderers muss zwei „Türen“ passieren, um zu Ressourcen zu gelangen: Lake Formation Formation-Berechtigungen und IAM-Berechtigungen.

Lake Formation Formation-Berechtigungen kontrollieren den Zugriff auf Datenkatalogressourcen, Amazon S3 S3-Standorte und die zugrunde liegenden Daten an diesen Standorten. IAM-Berechtigungen steuern den Zugriff auf die Lake Formation sowie auf AWS Glue APIs und Ressourcen. Obwohl Sie möglicherweise über die Lake Formation Formation-Berechtigung zum Erstellen einer Metadatentabelle im Datenkatalog (CREATE_TABLE) verfügen, schlägt Ihr Vorgang fehl, wenn Sie nicht über die IAM-Berechtigung für die glue:CreateTable API verfügen. (Warum eine glue: Erlaubnis? Weil Lake Formation den AWS Glue Datenkatalog verwendet.)

Anmerkung

Genehmigungen für Lake Formation gelten nur in der Region, in der sie erteilt wurden.

AWS Lake Formation erfordert, dass jeder Prinzipal (Benutzer oder Rolle) autorisiert ist, Aktionen auf von Lake Formation verwalteten Ressourcen durchzuführen. Einem Principal werden die erforderlichen Autorisierungen vom Data Lake-Administrator oder einem anderen Principal mit den Berechtigungen zur Erteilung von Lake Formation Formation-Berechtigungen erteilt.

Wenn Sie einem Principal eine Lake Formation Formation-Genehmigung erteilen, können Sie optional die Möglichkeit gewähren, diese Berechtigung an einen anderen Principal weiterzugeben.

Sie können die Lake Formation Formation-API, die AWS Command Line Interface (AWS CLI) oder die Seiten Datenberechtigungen und Datenspeicherorte der Lake Formation-Konsole verwenden, um Lake Formation-Berechtigungen zu erteilen oder zu widerrufen.