Modification des paramètres par défaut de votre lac de données - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Modification des paramètres par défaut de votre lac de données

Pour maintenir la rétrocompatibilité avecAWS Glue, AWS Lake Formation possède les paramètres de sécurité initiaux suivants :

  • L'Superautorisation est accordée au groupe IAMAllowedPrincipals sur toutes les ressources du catalogue de AWS Glue données existantes.

  • Les paramètres « Utiliser uniquement le contrôle d'accès IAM » sont activés pour les nouvelles ressources du catalogue de données.

Ces paramètres font en sorte que l'accès aux ressources du catalogue de données et aux emplacements Amazon S3 soit contrôlé uniquement par des politiques AWS Identity and Access Management (IAM). Les autorisations individuelles de Lake Formation ne sont pas en vigueur.

Le IAMAllowedPrincipals groupe inclut tous les utilisateurs et rôles IAM autorisés à accéder aux ressources de votre catalogue de données par vos politiques IAM. L'Superautorisation permet au principal d'effectuer toutes les opérations de Lake Formation prises en charge sur la base de données ou la table pour laquelle elle est accordée.

Pour modifier les paramètres de sécurité afin que l'accès aux ressources du catalogue de données (bases de données et tables) soit géré par les autorisations de Lake Formation, procédez comme suit :

  1. Modifiez les paramètres de sécurité par défaut pour les nouvelles ressources. Pour obtenir des instructions, veuillez consulter Modifier le modèle d'autorisation par défaut ou utiliser le mode d'accès hybride.

  2. Modifiez les paramètres des ressources du catalogue de données existantes. Pour obtenir des instructions, veuillez consulter Mise à niveau AWS Glue des autorisations de données vers le AWS Lake Formation modèle.

Modification des paramètres de sécurité par défaut à l'aide de l'opération d'PutDataLakeSettingsAPI Lake Formation

Vous pouvez également modifier les paramètres de sécurité par défaut à l'aide de l'opération d'PutDataLakeSettingsAPI Lake Formation. Cette action prend comme arguments un ID de catalogue facultatif et une DataLakeSettingsstructure.

Pour renforcer le contrôle d'accès aux métadonnées et aux données sous-jacentes par Lake Formation sur les nouvelles bases de données et tables, codez la DataLakeSettings structure comme suit.

Note

<AccountID>Remplacez-le par un identifiant de AWS compte valide et <Username>par un nom d'utilisateur IAM valide. Vous pouvez définir plusieurs utilisateurs en tant qu'administrateurs de data lake.

{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ],
        "CreateDatabaseDefaultPermissions": [],
        "CreateTableDefaultPermissions": []
    }
}

Vous pouvez également coder la structure comme suit. L'omission du CreateTableDefaultPermissions paramètre CreateDatabaseDefaultPermissions or équivaut à transmettre une liste vide.

{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ]
    }
}

Cette action révoque effectivement toutes les autorisations de Lake Formation accordées au IAMAllowedPrincipals groupe sur les nouvelles bases de données et tables. Lorsque vous créez une base de données, vous pouvez annuler ce paramètre.

Pour appliquer le contrôle d'accès aux métadonnées et aux données sous-jacentes uniquement par IAM sur les nouvelles bases de données et tables, codez la DataLakeSettings structure comme suit.

{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ],
        "CreateDatabaseDefaultPermissions": [
            {
                "Principal": {
                    "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"
                },
                "Permissions": [
                    "ALL"
                ]
            }
        ],
        "CreateTableDefaultPermissions": [
            {
                "Principal": {
                    "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"
                },
                "Permissions": [
                    "ALL"
                ]
            }
        ]
    }
}

Cela permet à la Super Lake Formation d'autoriser le IAMAllowedPrincipals groupe à utiliser de nouvelles bases de données et de nouvelles tables. Lorsque vous créez une base de données, vous pouvez annuler ce paramètre.

Note

Dans la DataLakeSettings structure précédente, la seule valeur autorisée pour DataLakePrincipalIdentifier estIAM_ALLOWED_PRINCIPALS, et la seule valeur autorisée pour Permissions estALL.