Gestion des balises LF pour le contrôle d'accès aux métadonnées

Pour utiliser la méthode de contrôle d'accès basé sur les balises Lake Formation (LF-TBAC) afin de sécuriser les ressources du catalogue de données (bases de données, tables et colonnes), vous créez des balises LF, vous les attribuez aux ressources et vous accordez des autorisations de balises LF aux principaux.

Avant de pouvoir attribuer des balises LF aux ressources du catalogue de données ou accorder des autorisations aux principaux, vous devez définir des balises LF. Seul un administrateur de lac de données ou un directeur disposant des autorisations de création de balises LF peut créer des balises LF.

Créateurs de LF-Tag

Le créateur de balises LF est un administrateur principal non administrateur autorisé à créer et à gérer des balises LF. Les administrateurs de data lake peuvent ajouter des créateurs de balises LF à l'aide de la console Lake Formation ou de la CLI. Les créateurs de balises LF ont des autorisations implicites de Lake Formation pour mettre à jour et supprimer les balises LF, pour attribuer des balises LF aux ressources et pour accorder des autorisations de balise LF et des autorisations de valeur de balise LF à d'autres directeurs.

Grâce aux rôles de créateur de balises LF, les administrateurs des lacs de données peuvent déléguer des tâches de gestion des balises, telles que la création et la mise à jour des clés et des valeurs des balises, à des personnes qui ne sont pas des administrateurs principaux. Les administrateurs de lacs de données peuvent également accorder aux créateurs de balises LF des autorisations susceptibles d'être accordéesCreate LF-Tag. Ensuite, le créateur de balises LF peut accorder l'autorisation de créer des balises LF à d'autres personnes principales.

Vous pouvez accorder deux types d'autorisations sur les LF-Tags :

• Autorisations LF-Tag - Create LF-TagAlter, et. Drop Ces autorisations sont requises pour créer, mettre à jour et supprimer des balises LF.

  Les administrateurs du lac de données et les créateurs de balises LF disposent implicitement de ces autorisations sur les balises LF qu'ils créent et peuvent accorder ces autorisations explicitement aux principaux pour gérer les balises dans le lac de données.

• Autorisations de paire clé-valeur LF-Tag -Assign, et. Describe Grant with LF-Tag expressions Ces autorisations sont nécessaires pour attribuer des balises LF aux bases de données, aux tables et aux colonnes du catalogue de données, et pour accorder des autorisations sur les ressources aux principaux utilisant le contrôle d'accès basé sur les balises Lake Formation. Les créateurs de balises LF reçoivent implicitement ces autorisations lors de la création de balises LF.

Après avoir reçu l'Create LF-Tagautorisation et créé avec succès les balises LF, le créateur de balises LF peut attribuer des balises LF aux ressources et accorder des autorisations de balises LF (Create LF-Tag, AlterDrop, et) à d'autres personnes non administratives pour gérer les balises dans le lac de données. Vous pouvez gérer les balises LF à l'aide de la console Lake Formation, de l'API ou du AWS Command Line Interface ()AWS CLI.

Note

Les administrateurs des lacs de données disposent des autorisations implicites de Lake Formation pour créer, mettre à jour et supprimer des balises LF, attribuer des balises LF aux ressources et accorder des autorisations LF-Tag aux principaux.

Pour connaître les meilleures pratiques et les considérations, voir Meilleures pratiques et considérations relatives au contrôle d'accès basé sur les balises Lake Formation

Rubriques

• Ajouter des créateurs de LF-Tag
• Création de balises LF
• Mise à jour des balises LF
• Supprimer des balises LF
• Répertorier les balises LF
• Affectation de balises LF aux ressources du catalogue de données
• Afficher les balises LF attribuées à une ressource
• Afficher les ressources auxquelles un tag LF est attribué
• Cycle de vie d'un LF-Tag
• Comparaison entre le contrôle d'accès basé sur les balises Lake Formation et le contrôle d'accès basé sur les attributs IAM

Consultez aussi

• Octroi, révocation et listage des autorisations relatives aux valeurs des balises LF

• Octroi d'autorisations de data lake à l'aide de la méthode LF-TBAC

• Contrôle d'accès basé sur des balises Lake Formation

Cycle de vie d'un LF-Tag

1. Michael, le créateur du LF-Tag, crée un LF-Tag. module=Customers

2. Michael octroie Associate le LF-Tag à l'ingénieur de données Eduardo. Accorder Associate implicitement des subventionsDescribe.

3. Michael accorde une subvention Super sur la table Custs à Eduardo avec l'option de subvention, afin qu'Eduardo puisse attribuer des balises LF à la table. Pour plus d’informations, consultez Affectation de balises LF aux ressources du catalogue de données.

4. Eduardo attribue le tag LF à module=customers la table. Custs

5. Michael accorde la subvention suivante à l'ingénieure de données Sandra (en pseudo-code).

   GRANT (SELECT, INSERT ON TABLES) ON TAGS module=customers TO Sandra WITH GRANT OPTION

6. Sandra accorde la subvention suivante à l'analyste de données Maria.

   GRANT (SELECT ON TABLES) ON TAGS module=customers TO Maria

   Maria peut désormais exécuter des requêtes sur la Custs table.

Consultez aussi

• Contrôle d'accès aux métadonnées

Comparaison entre le contrôle d'accès basé sur les balises Lake Formation et le contrôle d'accès basé sur les attributs IAM

Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit des autorisations en fonction des attributs. Dans AWS, ces attributs sont appelés balises. Vous pouvez associer des balises aux ressources IAM, notamment aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une seule politique ABAC ou un petit nombre de politiques pour vos principaux IAM. Ces politiques ABAC sont conçues pour autoriser des opérations lorsque la balise du principal correspond à celle de la ressource. L'ABAC est utile dans les environnements qui connaissent une croissance rapide et pour les cas où la gestion des politiques devient fastidieuse.

Les équipes de sécurité et de gouvernance du cloud utilisent IAM pour définir des politiques d'accès et des autorisations de sécurité pour toutes les ressources, y compris les compartiments Amazon S3, les instances Amazon EC2 et toutes les ressources auxquelles vous pouvez faire référence avec un ARN. Les politiques IAM définissent des autorisations générales (grossières) sur les ressources de votre lac de données, par exemple, pour autoriser ou refuser l'accès au niveau du compartiment ou du préfixe Amazon S3 ou au niveau de la base de données. Pour plus d'informations sur IAM ABAC, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.

Par exemple, vous pouvez créer trois rôles avec la clé de balise project-access. Définissez la valeur de la balise du premier rôle sur Dev, celle du deuxième sur Marketing, et celle du troisième sur Support. Attribuez des balises avec la valeur appropriée aux ressources. Vous pouvez alors utiliser une seule politique qui autorise l'accès lorsque le rôle et la ressource sont balisés avec la même valeur pour project-access.

Les équipes de gouvernance des données utilisent Lake Formation pour définir des autorisations précises pour des ressources de lacs de données spécifiques. Les balises LF sont attribuées aux ressources du catalogue de données (bases de données, tables et colonnes) et sont accordées aux principaux. Un principal dont les balises LF correspondent aux balises LF d'une ressource peut accéder à cette ressource. Les autorisations de Lake Formation sont secondaires aux autorisations IAM. Par exemple, si les autorisations IAM n'autorisent pas un utilisateur à accéder à un lac de données, Lake Formation n'accorde l'accès à aucune ressource de ce lac de données à cet utilisateur, même si le principal et la ressource ont des balises LF identiques.

Le contrôle d'accès basé sur des balises Lake Formation (LF-TBAC) fonctionne avec IAM ABAC pour fournir des niveaux d'autorisations supplémentaires pour vos données et ressources de Lake Formation.

• Les autorisations TBAC de Lake Formation évoluent avec l'innovation. L'administrateur n'a plus besoin de mettre à jour les politiques existantes pour autoriser l'accès aux nouvelles ressources. Supposons, par exemple, que vous utilisiez une stratégie IAM ABAC avec la project-access balise pour fournir un accès à des bases de données spécifiques au sein de Lake Formation. À l'aide du LF-TBAC, le tag LF Project=SuperApp est attribué à des tables ou à des colonnes spécifiques, et le même tag LF est accordé à un développeur pour ce projet. Grâce à IAM, le développeur peut accéder à la base de données, et les autorisations LF-TBAC lui permettent d'accéder davantage à des tables ou à des colonnes spécifiques au sein de tables. Si une nouvelle table est ajoutée au projet, l'administrateur de Lake Formation n'a qu'à attribuer la balise à la nouvelle table pour que le développeur puisse y accéder.

• Lake Formation TBAC nécessite moins de politiques IAM. Comme vous utilisez les politiques IAM pour accorder un accès de haut niveau aux ressources de Lake Formation et le TBAC de Lake Formation pour gérer un accès aux données plus précis, vous créez moins de politiques IAM.

• Grâce au Lake Formation TBAC, les équipes peuvent changer et se développer rapidement. En effet, les autorisations d'accès aux nouvelles ressources sont automatiquement accordées en fonction des attributs. Par exemple, si un nouveau développeur rejoint le projet, il est facile de lui accorder l'accès en associant le rôle IAM à l'utilisateur, puis en lui attribuant les balises LF requises. Il n'est pas nécessaire de modifier la politique IAM pour prendre en charge un nouveau projet ou pour créer de nouveaux LF-Tags.

• Des autorisations plus précises sont possibles grâce au Lake Formation TBAC. Les politiques IAM accordent l'accès aux ressources de haut niveau, telles que les bases de données ou les tables du catalogue de données. À l'aide de Lake Formation TBAC, vous pouvez autoriser l'accès à des tables ou à des colonnes spécifiques contenant des valeurs de données spécifiques.

Note

Les balises IAM sont différentes des balises LF. Ces étiquettes ne sont pas interchangeables. Les balises LF sont utilisées pour accorder des autorisations à Lake Formation et les balises IAM sont utilisées pour définir les politiques IAM.