Meilleures pratiques et considérations relatives au contrôle d'accès basé sur les balises Lake Formation - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Meilleures pratiques et considérations relatives au contrôle d'accès basé sur les balises Lake Formation

Vous pouvez créer, gérer et attribuer des balises LF pour contrôler l'accès aux bases de données, aux tables et aux colonnes du catalogue de données.

Tenez compte des meilleures pratiques suivantes lorsque vous utilisez le contrôle d'accès basé sur des balises Lake Formation :

  • Toutes les balises LF doivent être prédéfinies avant de pouvoir être attribuées aux ressources du catalogue de données ou accordées aux principaux.

    L'administrateur du lac de données peut déléguer les tâches de gestion des balises en créant des balises LF avec les autorisations IAM requises. Les ingénieurs de données et les analystes décident des caractéristiques et des relations des balises LF. Les créateurs de balises LF créent et maintiennent ensuite les balises LF dans Lake Formation.

  • Vous pouvez attribuer plusieurs balises LF aux ressources du catalogue de données. Une seule valeur pour une clé donnée peut être affectée à une ressource donnée.

    Par exemple, vous pouvez attribuermodule=Orders,region=West,division=Consumer, etc. à une base de données, une table ou une colonne. Vous ne pouvez pas attribuermodule=Orders,Customers.

  • Vous ne pouvez pas attribuer de balises LF aux ressources lorsque vous les créez. Vous ne pouvez ajouter des balises LF qu'aux ressources existantes.

  • Vous pouvez accorder des expressions de balises LF, et pas simplement des balises LF uniques, à un principal.

    Une expression LF-Tag ressemble à ce qui suit (en pseudo-code).

    module=sales AND division=(consumer OR commercial)

    Un principal auquel cette expression LF-Tag est attribuée ne peut accéder qu'aux ressources du catalogue de données (bases de données, tables et colonnes) attribuées module=sales et soitdivision=consumer. division=commercial Si vous souhaitez que le directeur puisse accéder à des ressources qui incluent module=sales ou division=commercial non les deux dans la même subvention. Faites deux subventions, une pour module=sales et une pourdivision=commercial.

    L'expression LF-Tag la plus simple consiste en une seule balise LF, telle que. module=sales

  • Un principal qui dispose d'autorisations sur une balise LF comportant plusieurs valeurs peut accéder aux ressources du catalogue de données avec l'une ou l'autre de ces valeurs. Par exemple, si un utilisateur se voit attribuer une balise LF avec key= module et values=orders,customers, il a accès aux ressources attribuées soit. module=orders module=customers

  • Vous devez être Grant with LF-Tag expressions autorisé à accorder des autorisations de données sur les ressources du catalogue de données à l'aide de la méthode LF-TBAC. L'administrateur du lac de données et le créateur du tag LF reçoivent implicitement cette autorisation. Un principal Grant with LFTag expressions autorisé peut accorder des autorisations de données sur les ressources en utilisant :

    • la méthode de ressource nommée

    • la méthode LF-TBAC, mais en utilisant uniquement la même expression LF-Tag

      Supposons, par exemple, que l'administrateur du lac de données accorde l'autorisation suivante (en pseudo-code).

      GRANT (SELECT ON TABLES) ON TAGS module=customers, region=west,south TO user1 WITH GRANT OPTION

      Dans ce cas, user1 vous pouvez attribuer des tables SELECT à d'autres principaux en utilisant la méthode LF-TBAC, mais uniquement avec l'expression LF-Tag complète. module=customers, region=west,south

  • Si un principal obtient des autorisations sur une ressource à la fois avec la méthode LF-TBAC et la méthode de ressource nommée, les autorisations que le principal possède sur la ressource sont l'union des autorisations accordées par les deux méthodes.

  • Lake Formation prend en charge l'attribution DESCRIBE et ASSOCIATE l'attribution de balises LF entre les comptes, ainsi que l'octroi d'autorisations sur les ressources du catalogue de données entre les comptes à l'aide de la méthode LF-TBAC. Dans les deux cas, le principal est un identifiant de AWS compte.

    Note

    Lake Formation soutient les subventions intercomptes aux organisations et aux unités organisationnelles en utilisant la méthode LF-TBAC. Pour utiliser cette fonctionnalité, vous devez mettre à jour les paramètres de version entre comptes vers la version 3.

    Pour plus d’informations, consultez Partage de données entre comptes dans Lake Formation.

  • Les ressources du catalogue de données créées dans un compte ne peuvent être étiquetées qu'à l'aide de balises LF créées dans le même compte. Les balises LF créées dans un compte ne peuvent pas être associées à des ressources partagées depuis un autre compte.

  • L'utilisation du contrôle d'accès basé sur les balises de Lake Formation (LF-TBAC) pour accorder un accès entre comptes aux ressources du catalogue de données nécessite des ajouts à la politique de ressources du catalogue de données de votre compte. AWS Pour plus d’informations, consultez Prérequis.

  • Les touches LF-Tag et les valeurs LF-Tag ne peuvent pas dépasser 50 caractères.

  • Le nombre maximum de balises LF pouvant être attribuées à une ressource de catalogue de données est de 50.

  • Les limites suivantes sont des limites souples :

    • Le nombre maximum de balises LF pouvant être créées est de 1 000.

    • Le nombre maximum de valeurs pouvant être définies pour une balise LF est de 1 000.

  • Les balises, les clés et les valeurs sont converties en minuscules lors de leur stockage.

  • Une seule valeur pour une balise LF peut être affectée à une ressource particulière.

  • Si plusieurs balises LF sont accordées à un principal avec une seule autorisation, le principal ne peut accéder qu'aux ressources du catalogue de données contenant toutes les balises LF.

  • AWS GlueLes tâches ETL nécessitent un accès complet aux tables. Les tâches échoueront si le rôle AWS Glue ETL n'a pas accès à toutes les colonnes d'une table. Il est possible d'appliquer des balises LF au niveau d'une colonne, mais cela peut entraîner la perte de l'accès complet aux tables pour les rôles AWS Glue ETL et l'échec des tâches.

  • Si l'évaluation d'une expression LF-Tag ne donne accès qu'à un sous-ensemble de colonnes de table, mais que l'autorisation Lake Formation accordée en cas de correspondance est l'une des autorisations nécessitant un accès complet aux colonnes, à savoirAlter, ou Drop InsertDelete, alors aucune de ces autorisations n'est accordée. Au lieu de cela, seul Describe est accordé. Si l'autorisation accordée est All (Super), alors uniquement Select et Describe sont accordées.

  • Les caractères génériques ne sont pas utilisés avec les balises LF. Pour attribuer une balise LF à toutes les colonnes d'une table, vous attribuez la balise LF à la table, et toutes les colonnes de la table héritent de la balise LF. Pour attribuer une balise LF à toutes les tables d'une base de données, vous attribuez la balise LF à la base de données, et toutes les tables de la base de données héritent de cette balise LF.