Méthodes de contrôle d'accès précis - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Méthodes de contrôle d'accès précis

Avec un lac de données, l'objectif est de disposer d'un contrôle d'accès précis aux données. Dans Lake Formation, cela signifie un contrôle d'accès précis aux ressources du catalogue de données et aux emplacements Amazon S3. Vous pouvez obtenir un contrôle d'accès précis à l'aide de l'une des méthodes suivantes.

Méthode Permissions relatives à la formation des lacs Autorisations IAM Commentaires
Méthode 1 : Ouvrir À grain fin

Il s'agit de la méthode par défaut pour la rétrocompatibilité avecAWS Glue.

  • Ouvert signifie que l'autorisation spéciale Super est accordée au groupeIAMAllowedPrincipals, qui IAMAllowedPrincipals est automatiquement créé et inclut tous les utilisateurs et rôles IAM autorisés à accéder aux ressources de votre catalogue de données par vos politiques IAM, et l'Superautorisation permet à un principal d'effectuer toutes les opérations de Lake Formation prises en charge sur la base de données ou la table pour laquelle elle est accordée. Ainsi, l'accès aux ressources du catalogue de données et aux emplacements Amazon S3 est contrôlé uniquement par les politiques IAM. Pour plus d’informations, consultez Modification des paramètres par défaut de votre lac de données et Mise à niveau AWS Glue des autorisations de données vers le AWS Lake Formation modèle.

  • La précision signifie que les politiques IAM contrôlent tous les accès aux ressources du catalogue de données et aux compartiments Amazon S3 individuels.

Sur la console Lake Formation, cette méthode apparaît sous la forme Utiliser uniquement le contrôle d’accès IAM.
Méthode 2 : À grain fin À gros grains

Il s'agit de la méthode recommandée.

  • Un accès précis implique l'octroi d'autorisations limitées de Lake Formation à des principaux responsables individuels sur les ressources du catalogue de données, les sites Amazon S3 et les données sous-jacentes de ces sites.

  • Une granularité grossière signifie des autorisations plus étendues sur les opérations individuelles et sur l'accès aux sites Amazon S3. Par exemple, une politique IAM grossière peut inclure "glue:*" ou "glue:Create*" plutôt laisser aux autorisations "glue:CreateTables" Lake Formation le soin de contrôler si un mandant peut ou non créer des objets de catalogue. Cela implique également de donner aux directeurs l'accès aux API dont ils ont besoin pour faire leur travail, mais de verrouiller les autres API et ressources. Par exemple, vous pouvez créer une politique IAM qui permet à un principal de créer des ressources de catalogue de données et de créer et d'exécuter des flux de travail, mais qui n'autorise pas la création de AWS Glue connexions ou de fonctions définies par l'utilisateur. Consultez les exemples plus loin dans cette section.
Important

Tenez compte des points suivants :

  • Par défaut, les paramètres de contrôle d'accès Use only IAM de Lake Formation sont activés pour garantir la compatibilité avec le comportement existant du catalogue de AWS Glue données. Nous vous recommandons de désactiver ces paramètres une fois que vous serez passé à l'utilisation des autorisations de Lake Formation. Pour plus d’informations, consultez Modification des paramètres par défaut de votre lac de données.

  • Les administrateurs de lacs de données et les créateurs de bases de données disposent d'autorisations implicites de Lake Formation que vous devez comprendre. Pour plus d’informations, consultez Permissions implicites de Lake Formation.