Bewährte Methoden und Überlegungen zur Tag-basierten Zugriffskontrolle von Lake Formation - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden und Überlegungen zur Tag-basierten Zugriffskontrolle von Lake Formation

Sie können LF-Tags erstellen, verwalten und zuweisen, um den Zugriff auf Datenbanken, Tabellen und Spalten im Datenkatalog zu kontrollieren.

Beachten Sie bei der Verwendung der tagbasierten Zugriffskontrolle von Lake Formation die folgenden bewährten Methoden:

  • Alle LF-Tags müssen vordefiniert sein, bevor sie Datenkatalogressourcen zugewiesen oder Prinzipalen gewährt werden können.

    Der Data Lake-Administrator kann Tag-Management-Aufgaben delegieren, indem er LF-Tag-Ersteller mit den erforderlichen Berechtigungen erstellt. IAM Dateningenieure und Analysten entscheiden über die Eigenschaften und Beziehungen von LF-Tags. Die LF-Tag-Ersteller erstellen und verwalten dann die LF-Tags in Lake Formation.

  • Sie können Datenkatalogressourcen mehrere LF-Tags zuweisen. Einer bestimmten Ressource kann nur ein Wert für einen bestimmten Schlüssel zugewiesen werden.

    Sie können beispielsweisemodule=Orders, region=Westdivision=Consumer, usw. einer Datenbank, Tabelle oder Spalte zuweisen. Sie können nichts zuweisenmodule=Orders,Customers.

  • Sie können Ressourcen keine LF-Tags zuweisen, wenn Sie die Ressource erstellen. Sie können LF-Tags nur vorhandenen Ressourcen hinzufügen.

  • Sie können einem Prinzipal LF-Tag-Ausdrücke und nicht nur einzelne LF-Tags zuweisen.

    Ein LF-Tag-Ausdruck sieht ungefähr wie folgt aus (in Pseudocode).

    module=sales AND division=(consumer OR commercial)

    Ein Prinzipal, dem dieser LF-Tag-Ausdruck erteilt wurde, kann nur auf zugewiesene Datenkatalogressourcen (Datenbanken, Tabellen und Spalten) zugreifen und entweder oder. module=sales division=consumer division=commercial Wenn Sie möchten, dass der Prinzipal auf Ressourcen zugreifen kann, die über module=sales oder verfügendivision=commercial, sollten Sie nicht beide in dieselbe Zuweisung einbeziehen. Vergeben Sie zwei Zuschüsse, einen für module=sales und einen fürdivision=commercial.

    Der einfachste LF-Tag-Ausdruck besteht aus nur einem LF-Tag, z. B. module=sales

  • Ein Principal, dem Berechtigungen für ein LF-Tag mit mehreren Werten erteilt wurden, kann mit einem dieser Werte auf Datenkatalogressourcen zugreifen. Wenn einem Benutzer beispielsweise ein LF-Tag mit key= module und values= gewährt wird, hat der Benutzer Zugriff auf orders,customers Ressourcen, denen entweder oder zugewiesen ist. module=orders module=customers

  • Sie benötigen die Grant with LF-Tag expressions Berechtigung, Datenberechtigungen für Datenkatalogressourcen mithilfe der LF- Methode zu erteilen. TBAC Der Data Lake-Administrator und der LF-Tag-Ersteller erhalten diese Berechtigung implizit. Ein Principal, der über die Grant with LFTag expressions entsprechende Berechtigung verfügt, kann Datenberechtigungen für die Ressourcen gewähren, indem er:

    • die benannte Ressourcenmethode

    • die LF- TBAC Methode, aber nur unter Verwendung desselben LF-Tag-Ausdrucks

      Gehen Sie beispielsweise davon aus, dass der Data Lake-Administrator den folgenden Zuschuss erteilt (in Pseudocode).

      GRANT (SELECT ON TABLES) ON TAGS module=customers, region=west,south TO user1 WITH GRANT OPTION

      In diesem Fall user1 kann anderen Prinzipalen mithilfe SELECT der LF- TBAC Methode eine Genehmigung für Tabellen erteilt werden, jedoch nur mit dem vollständigen LF-Tag-Ausdruck. module=customers, region=west,south

  • Wenn einem Prinzipal sowohl mit der LF-Methode als auch mit der TBAC Methode Named Resource Berechtigungen für eine Ressource erteilt werden, sind die Berechtigungen, die der Prinzipal für die Ressource hat, die Vereinigung der von beiden Methoden gewährten Berechtigungen.

  • Lake Formation unterstützt die kontenübergreifende Gewährung DESCRIBE und ASSOCIATE Aktivierung von LF-Tags sowie die kontenübergreifende Erteilung von Berechtigungen für Datenkatalogressourcen mithilfe der LF-Methode. TBAC In beiden Fällen ist der Principal eine AWS Konto-ID.

    Anmerkung

    Lake Formation unterstützt kontenübergreifende Zuschüsse an Organisationen und Organisationseinheiten mithilfe der TBAC LF-Methode. Um diese Funktion nutzen zu können, müssen Sie die Einstellungen für die kontoübergreifende Version auf Version 3 aktualisieren.

    Weitere Informationen finden Sie unter Kontoübergreifender Datenaustausch in Lake Formation.

  • Datenkatalogressourcen, die in einem Konto erstellt wurden, können nur mit LF-Tags gekennzeichnet werden, die in demselben Konto erstellt wurden. In einem Konto erstellte LF-Tags können nicht mit gemeinsam genutzten Ressourcen aus einem anderen Konto verknüpft werden.

  • Wenn Sie die tagbasierte Zugriffskontrolle (LF-TBAC) von Lake Formation verwenden, um kontenübergreifenden Zugriff auf Datenkatalogressourcen zu gewähren, sind Ergänzungen der Datenkatalog-Ressourcenrichtlinie für Ihr AWS Konto erforderlich. Weitere Informationen finden Sie unter Voraussetzungen.

  • LF-Tag-Schlüssel und LF-Tag-Werte dürfen eine Länge von 50 Zeichen nicht überschreiten.

  • Die maximale Anzahl von LF-Tags, die einer Datenkatalogressource zugewiesen werden können, beträgt 50.

  • Bei den folgenden Grenzwerten handelt es sich um weiche Grenzwerte:

    • Die maximale Anzahl von LF-Tags, die erstellt werden können, beträgt 1000.

    • Die maximale Anzahl von Werten, die für ein LF-Tag definiert werden können, ist 1000.

  • Tags, Schlüssel und Werte werden beim Speichern ausschließlich in Kleinbuchstaben umgewandelt.

  • Einer bestimmten Ressource kann nur ein Wert für ein LF-Tag zugewiesen werden.

  • Wenn einem Principal mit einem einzigen Grant mehrere LF-Tags gewährt werden, kann der Principal nur auf Datenkatalogressourcen zugreifen, die über alle LF-Tags verfügen.

  • AWS Glue ETLJobs erfordern vollständigen Tabellenzugriff. Die Jobs schlagen fehl, wenn die AWS Glue ETL Rolle nicht auf alle Spalten in einer Tabelle zugreifen kann. Es ist möglich, LF-Tags auf Spaltenebene anzuwenden, aber das kann dazu führen, dass AWS Glue ETL Rollen den vollständigen Tabellenzugriff verlieren und Jobs fehlschlagen.

  • Wenn eine Auswertung eines LF-Tag-Ausdrucks dazu führt, dass nur auf eine Teilmenge von Tabellenspalten zugegriffen wird, die bei einer Übereinstimmung erteilte Lake Formation Formation-Berechtigung jedoch eine der Berechtigungen ist, die vollen Spaltenzugriff erforderten, nämlich,, oder,,,,,,,,,,Alter,,Drop,,Insert,,Delete,,, dann wird keine dieser Berechtigungen gewährt. Stattdessen wird nur Describe gewährt. Wenn die erteilte Erlaubnis All (Super) lautet, dann Describe werden nur Select und erteilt.

  • Platzhalter werden nicht mit LF-Tags verwendet. Um allen Spalten einer Tabelle ein LF-Tag zuzuweisen, weisen Sie der Tabelle das LF-Tag zu, und alle Spalten in der Tabelle erben das LF-Tag. Um allen Tabellen in einer Datenbank ein LF-Tag zuzuweisen, weisen Sie der Datenbank das LF-Tag zu, und alle Tabellen in der Datenbank erben dieses LF-Tag.