Verwaltung von LF-Tags für die Zugriffskontrolle auf Metadaten

Um die Tag-Based Access Control (LF-TBAC) -Methode von Lake Formation zur Sicherung von Datenkatalogressourcen (Datenbanken, Tabellen und Spalten) zu verwenden, erstellen Sie LF-Tags, weisen sie Ressourcen zu und gewähren Prinzipalen LF-Tag-Berechtigungen.

Bevor Sie Datenkatalogressourcen LF-Tags zuweisen oder Prinzipalen Berechtigungen erteilen können, müssen Sie LF-Tags definieren. Nur ein Data Lake-Administrator oder ein Principal mit Berechtigungen zum Erstellen von LF-Tags kann LF-Tags erstellen.

Ersteller von LF-Tags

LF-Tag Creator ist kein Administrator und hat die Rechte, LF-Tags zu erstellen und zu verwalten. Data Lake-Administratoren können LF-Tag-Ersteller mithilfe der Lake Formation Formation-Konsole oder CLI hinzufügen. LF-Tag-Ersteller verfügen über implizite Lake Formation Formation-Berechtigungen zum Aktualisieren und Löschen von LF-Tags, zum Zuweisen von LF-Tags zu Ressourcen und zum Erteilen von LF-Tag-Berechtigungen und LF-Tag-Wertberechtigungen an andere Principals.

Mit LF-Tag-Erstellerrollen können Data Lake-Administratoren Tag-Management-Aufgaben wie das Erstellen und Aktualisieren von Tag-Schlüsseln und -Werten an Prinzipale delegieren, die keine Administratorrechte haben. Data Lake-Administratoren können LF-Tag-Erstellern auch erteilbare Berechtigungen gewähren. Create LF-Tag Anschließend kann der LF-Tag-Ersteller anderen Prinzipalen die Erlaubnis zur Erstellung von LF-Tags erteilen.

Sie können zwei Arten von Berechtigungen für LF-Tags gewähren:

• LF-Tag-Berechtigungen -Create LF-Tag, und. Alter Drop Diese Berechtigungen sind erforderlich, um LF-Tags zu erstellen, zu aktualisieren und zu löschen.

  Data Lake-Administratoren und LF-Tag-Ersteller verfügen implizit über diese Berechtigungen für die von ihnen erstellten LF-Tags und können diese Berechtigungen explizit Prinzipalen zur Verwaltung von Tags im Data Lake gewähren.

• Berechtigungen für LF-Tag-Schlüsselwertpaare -, und. Assign Describe Grant with LF-Tag expressions Diese Berechtigungen sind erforderlich, um LF-Tags den Datenbanken, Tabellen und Spalten von Data Catalog zuzuweisen und um Prinzipalen, die die Tag-basierte Zugriffskontrolle von Lake Formation verwenden, Berechtigungen für die Ressourcen zu gewähren. LF-Tag-Ersteller erhalten diese Berechtigungen implizit, wenn sie LF-Tags erstellen.

Nach Erhalt der Create LF-Tag Genehmigung und erfolgreicher Erstellung von LF-Tags kann der LF-Tag-Ersteller Ressourcen LF-Tags zuweisen und anderen Personen, die keine Administratoren sind, LF-Tag-Berechtigungen (Create LF-TagAlterDrop, und) zur Verwaltung von Tags im Data Lake gewähren. Sie können LF-Tags mithilfe der Lake Formation Formation-Konsole, der API oder der AWS Command Line Interface () AWS CLI verwalten.

Anmerkung

Data Lake-Administratoren verfügen über implizite Lake Formation Formation-Berechtigungen, um LF-Tags zu erstellen, zu aktualisieren und zu löschen, Ressourcen LF-Tags zuzuweisen und Prinzipalen LF-Tag-Berechtigungen zu gewähren.

Bewährte Methoden und Überlegungen finden Sie unter Bewährte Methoden und Überlegungen zur tagbasierten Zugriffskontrolle in Lake Formation

Themen

• Hinzufügen von LF-Tag-Erstellern
• LF-Tags erstellen
• LF-Tags werden aktualisiert
• LF-Tags löschen
• LF-Tags auflisten
• Zuweisen von LF-Tags zu Datenkatalogressourcen
• LF-Tags anzeigen, die einer Ressource zugewiesen sind
• Die Ressourcen anzeigen, denen ein LF-Tag zugewiesen ist
• Lebenszyklus eines LF-Tags
• Vergleich der Tag-basierten Zugriffskontrolle von Lake Formation mit der attributbasierten IAM-Zugriffskontrolle

Weitere Informationen finden Sie auch unter

• Erteilen, Widerrufen und Auflisten von LF-Tag-Wertberechtigungen

• Erteilen von Data Lake-Berechtigungen mithilfe der LF-TBAC-Methode

• Tag-basierte Zugriffskontrolle für Lake Formation

Lebenszyklus eines LF-Tags

1. Der LF-Tag-Schöpfer Michael erstellt einen LF-Tag. module=Customers

2. Michael vergibt den LF-Tag Associate an den Dateningenieur Eduardo. Implizite Gewährung von ZuschüssenAssociate. Describe

3. Michael gewährt Eduardo mit der Grant-Option Super auf dem TischCusts, sodass Eduardo der Tabelle LF-Tags zuweisen kann. Weitere Informationen finden Sie unter Zuweisen von LF-Tags zu Datenkatalogressourcen.

4. Eduardo weist der Tabelle den LF-Tag zu. module=customers Custs

5. Michael gewährt der Dateningenieurin Sandra den folgenden Zuschuss (in Pseudocode).

   GRANT (SELECT, INSERT ON TABLES) ON TAGS module=customers TO Sandra WITH GRANT OPTION

6. Sandra gewährt der Datenanalystin Maria den folgenden Zuschuss.

   GRANT (SELECT ON TABLES) ON TAGS module=customers TO Maria

   Maria kann jetzt Abfragen für die Custs Tabelle ausführen.

Weitere Informationen finden Sie auch unter

• Zugriffskontrolle für Metadaten

Vergleich der Tag-basierten Zugriffskontrolle von Lake Formation mit der attributbasierten IAM-Zugriffskontrolle

Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen definiert werden. In AWS werden diese Attribute als Tags bezeichnet. Sie können Tags an IAM-Ressourcen anhängen, einschließlich IAM-Entitäten (Benutzer oder Rollen) und an AWS-Ressourcen. Sie können eine einzelne ABAC-Richtlinie oder einen kleinen Richtliniensatz für Ihre IAM-Prinzipale erstellen. Diese ABAC-Richtlinien können so konzipiert werden, dass Operationen zugelassen werden, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. ABAC ist in Umgebungen hilfreich, die schnell wachsen, und unterstützt Sie in Situationen, in denen die Richtlinienverwaltung mühsam wird.

Cloud-Sicherheits- und Governance-Teams verwenden IAM, um Zugriffsrichtlinien und Sicherheitsberechtigungen für alle Ressourcen zu definieren, einschließlich Amazon S3 S3-Buckets, Amazon EC2 EC2-Instances und allen Ressourcen, auf die Sie mit einem ARN verweisen können. Die IAM-Richtlinien definieren umfassende (grobe) Berechtigungen für Ihre Data Lake-Ressourcen, um beispielsweise den Zugriff auf Amazon S3 S3-Bucket-, Präfix- oder Datenbankebene zuzulassen oder zu verweigern. Weitere Informationen zu IAM ABAC finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.

Sie können beispielsweise drei Rollen mit dem Tag-Schlüssel project-access erstellen. Legen Sie den Tag-Wert der ersten Rolle auf Dev, den zweiten auf Marketing und den dritten auf Support fest. Weisen Sie Ressourcen Tags mit dem entsprechenden Wert zu. Sie können dann eine einzelne Richtlinie verwenden, die den Zugriff erlaubt, wenn die Rolle und die Ressource mit demselben Wert für project-access markiert sind.

Data Governance-Teams verwenden Lake Formation, um detaillierte Berechtigungen für bestimmte Data Lake-Ressourcen zu definieren. LF-Tags werden Datenkatalogressourcen (Datenbanken, Tabellen und Spalten) zugewiesen und an Principals vergeben. Ein Principal mit LF-Tags, die den LF-Tags einer Ressource entsprechen, kann auf diese Ressource zugreifen. Lake Formation Formation-Berechtigungen sind den IAM-Berechtigungen untergeordnet. Wenn IAM-Berechtigungen einem Benutzer beispielsweise keinen Zugriff auf einen Data Lake gewähren, gewährt Lake Formation diesem Benutzer keinen Zugriff auf Ressourcen innerhalb dieses Data Lakes, selbst wenn der Principal und die Ressource übereinstimmende LF-Tags haben.

Lake Formation Tag-Based Access Control (LF-TBAC) arbeitet mit IAM ABAC zusammen, um zusätzliche Berechtigungsebenen für Ihre Lake Formation Formation-Daten und -Ressourcen bereitzustellen.

• Lake Formation TBAC-Genehmigungen skalieren mit Innovation. Es ist nicht mehr notwendig, dass ein Administrator vorhandene Richtlinien aktualisiert, um den Zugriff auf neue Ressourcen zu erlauben. Nehmen wir beispielsweise an, dass Sie eine IAM-ABAC-Strategie mit dem project-access Tag verwenden, um Zugriff auf bestimmte Datenbanken innerhalb von Lake Formation zu gewähren. Mithilfe von LF-TBAC Project=SuperApp wird das LF-Tag bestimmten Tabellen oder Spalten zugewiesen, und dasselbe LF-Tag wird einem Entwickler für dieses Projekt gewährt. Über IAM kann der Entwickler auf die Datenbank zugreifen, und LF-TBAC-Berechtigungen gewähren dem Entwickler weiteren Zugriff auf bestimmte Tabellen oder Spalten innerhalb von Tabellen. Wenn dem Projekt eine neue Tabelle hinzugefügt wird, muss der Lake Formation-Administrator der neuen Tabelle nur das Tag zuweisen, damit der Entwickler Zugriff auf die Tabelle erhält.

• Lake Formation TBAC erfordert weniger IAM-Richtlinien. Da Sie IAM-Richtlinien verwenden, um umfassenden Zugriff auf Lake Formation-Ressourcen und Lake Formation TBAC für die Verwaltung eines genaueren Datenzugriffs zu gewähren, erstellen Sie weniger IAM-Richtlinien.

• Mit Lake Formation TBAC können sich Teams schnell verändern und wachsen. Der Grund hierfür ist, dass Berechtigungen für neue Ressourcen automatisch basierend auf Attributen erteilt werden. Wenn beispielsweise ein neuer Entwickler dem Projekt beitritt, ist es einfach, diesem Entwickler Zugriff zu gewähren, indem Sie dem Benutzer die IAM-Rolle zuordnen und ihm dann die erforderlichen LF-Tags zuweisen. Sie müssen die IAM-Richtlinie nicht ändern, um ein neues Projekt zu unterstützen oder neue LF-Tags zu erstellen.

• Mit Lake Formation TBAC sind detailliertere Genehmigungen möglich. IAM-Richtlinien gewähren Zugriff auf Ressourcen der obersten Ebene, wie z. B. Datenkatalogdatenbanken oder Tabellen. Mit Lake Formation TBAC können Sie Zugriff auf bestimmte Tabellen oder Spalten gewähren, die bestimmte Datenwerte enthalten.

Anmerkung

IAM-Tags sind nicht dasselbe wie LF-Tags. Diese Tags sind nicht austauschbar. LF-Tags werden verwendet, um Lake Formation Formation-Berechtigungen zu gewähren, und IAM-Tags werden verwendet, um IAM-Richtlinien zu definieren.