Metode untuk kontrol akses berbutir halus

Dengan data lake, tujuannya adalah untuk memiliki kontrol akses halus ke data. Di Lake Formation, ini berarti kontrol akses berbutir halus ke sumber daya Katalog Data dan lokasi Amazon S3. Anda dapat mencapai kontrol akses berbutir halus dengan salah satu metode berikut.

Metode Izin Lake Formation Izin IAM Komentar

Metode 1

Buka

Berbutir halus

Metode	Izin Lake Formation	Izin IAM	Komentar
Metode 1	Buka	Berbutir halus	Ini adalah metode default untuk kompatibilitas mundur denganAWS Glue. Open berarti bahwa izin khusus `Super` diberikan kepada grup`IAMAllowedPrincipals`, di mana `IAMAllowedPrincipals` secara otomatis dibuat dan mencakup setiap pengguna dan peran IAM yang diizinkan mengakses sumber daya Katalog Data Anda oleh kebijakan IAM Anda, dan `Super` izin tersebut memungkinkan prinsipal untuk melakukan setiap operasi Lake Formation yang didukung pada database atau tabel yang diberikan. Hal ini secara efektif menyebabkan akses ke sumber daya Katalog Data dan lokasi Amazon S3 dikendalikan semata-mata oleh kebijakan IAM. Untuk informasi selengkapnya, lihat Mengubah pengaturan default untuk data lake Anda dan Memutakhirkan izin AWS Glue data ke model AWS Lake Formation. Berbutir halus berarti bahwa kebijakan IAM mengontrol semua akses ke sumber daya Katalog Data dan ke bucket Amazon S3 individual. Pada konsol Lake Formation, metode ini muncul sebagai Gunakan hanya kontrol akses IAM.
Metode 2	Berbutir halus	Berbutir kasar	Ini adalah metode yang direkomendasikan. Akses berbutir halus berarti memberikan izin Lake Formation terbatas kepada masing-masing kepala sekolah pada sumber daya Katalog Data, lokasi Amazon S3, dan data dasar di lokasi tersebut. Berbutir kasar berarti izin yang lebih luas pada operasi individual dan akses ke lokasi Amazon S3. Misalnya, kebijakan IAM berbutir kasar mungkin menyertakan `"glue:"` atau lebih `"glue:Create"` tepatnya, membiarkan izin `"glue:CreateTables"` Lake Formation untuk mengontrol apakah prinsipal dapat membuat objek katalog atau tidak. Ini juga berarti memberi kepala sekolah akses ke API yang mereka butuhkan untuk melakukan pekerjaan mereka, tetapi mengunci API dan sumber daya lainnya. Misalnya, Anda dapat membuat kebijakan IAM yang memungkinkan prinsipal untuk membuat sumber daya Katalog Data dan membuat serta menjalankan alur kerja, tetapi tidak mengaktifkan pembuatan AWS Glue koneksi atau fungsi yang ditentukan pengguna. Lihat contoh nanti di bagian ini.

Ini adalah metode default untuk kompatibilitas mundur denganAWS Glue.

Open berarti bahwa izin khusus Super diberikan kepada grupIAMAllowedPrincipals, di mana IAMAllowedPrincipals secara otomatis dibuat dan mencakup setiap pengguna dan peran IAM yang diizinkan mengakses sumber daya Katalog Data Anda oleh kebijakan IAM Anda, dan Super izin tersebut memungkinkan prinsipal untuk melakukan setiap operasi Lake Formation yang didukung pada database atau tabel yang diberikan. Hal ini secara efektif menyebabkan akses ke sumber daya Katalog Data dan lokasi Amazon S3 dikendalikan semata-mata oleh kebijakan IAM. Untuk informasi selengkapnya, lihat Mengubah pengaturan default untuk data lake Anda dan Memutakhirkan izin AWS Glue data ke model AWS Lake Formation.
Berbutir halus berarti bahwa kebijakan IAM mengontrol semua akses ke sumber daya Katalog Data dan ke bucket Amazon S3 individual.

Pada konsol Lake Formation, metode ini muncul sebagai Gunakan hanya kontrol akses IAM.

Metode 2

Berbutir halus

Berbutir kasar

Ini adalah metode yang direkomendasikan.

Akses berbutir halus berarti memberikan izin Lake Formation terbatas kepada masing-masing kepala sekolah pada sumber daya Katalog Data, lokasi Amazon S3, dan data dasar di lokasi tersebut.
Berbutir kasar berarti izin yang lebih luas pada operasi individual dan akses ke lokasi Amazon S3. Misalnya, kebijakan IAM berbutir kasar mungkin menyertakan "glue:*" atau lebih "glue:Create*" tepatnya, membiarkan izin "glue:CreateTables" Lake Formation untuk mengontrol apakah prinsipal dapat membuat objek katalog atau tidak. Ini juga berarti memberi kepala sekolah akses ke API yang mereka butuhkan untuk melakukan pekerjaan mereka, tetapi mengunci API dan sumber daya lainnya. Misalnya, Anda dapat membuat kebijakan IAM yang memungkinkan prinsipal untuk membuat sumber daya Katalog Data dan membuat serta menjalankan alur kerja, tetapi tidak mengaktifkan pembuatan AWS Glue koneksi atau fungsi yang ditentukan pengguna. Lihat contoh nanti di bagian ini.

penting

Ketahui hal-hal berikut:

Secara default, Lake Formation memiliki pengaturan kontrol akses Use only IAM yang diaktifkan untuk kompatibilitas dengan perilaku Katalog AWS Glue Data yang ada. Kami menyarankan Anda menonaktifkan pengaturan ini setelah Anda beralih menggunakan izin Lake Formation. Untuk informasi selengkapnya, lihat Mengubah pengaturan default untuk data lake Anda.
Administrator data lake dan pembuat database memiliki izin Lake Formation implisit yang harus Anda pahami. Untuk informasi selengkapnya, lihat Izin Lake Formation Implisit.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Ikhtisar izin Lake Formation

Kontrol akses metadata