Praktik dan pertimbangan terbaik kontrol akses berbasis tag Lake Formation

Anda dapat membuat, memelihara, dan menetapkan LF-tag untuk mengontrol akses ke database, tabel, dan kolom Katalog Data.

Pertimbangkan praktik terbaik berikut saat menggunakan kontrol akses berbasis tag Lake Formation:

• Semua LF-tag harus ditentukan sebelumnya sebelum dapat ditetapkan ke sumber daya Katalog Data atau diberikan kepada prinsipal.

  Administrator data lake dapat mendelegasikan tugas manajemen tag dengan membuat pembuat LF-tag dengan izin IAM yang diperlukan. Insinyur dan analis data memutuskan karakteristik dan hubungan untuk LF-tag. Pembuat LF-tag kemudian membuat dan memelihara LF-tag di Lake Formation.

• Anda dapat menetapkan beberapa LF-tag ke sumber daya Katalog Data. Hanya satu nilai untuk kunci tertentu yang dapat ditetapkan ke sumber daya tertentu.

  Misalnya, Anda dapat menetapkanmodule=Orders,, region=Westdivision=Consumer, dan seterusnya ke database, tabel, atau kolom. Anda tidak dapat menetapkanmodule=Orders,Customers.

• Anda tidak dapat menetapkan LF-tag ke sumber daya saat membuat sumber daya. Anda hanya dapat menambahkan LF-tag ke sumber daya yang ada.

• Anda dapat memberikan ekspresi LF-tag, bukan hanya tag LF tunggal, ke prinsipal.

  Ekspresi LF-tag terlihat seperti berikut (dalam pseudo-code).

  module=sales AND division=(consumer OR commercial)

  Prinsipal yang diberikan ekspresi LF-tag ini hanya dapat mengakses sumber daya Katalog Data (database, tabel, dan kolom) yang ditetapkan module=sales dan salah satu atau. division=consumer division=commercial Jika Anda ingin kepala sekolah dapat mengakses sumber daya yang memiliki module=sales ataudivision=commercial, jangan sertakan keduanya dalam hibah yang sama. Buat dua hibah, satu untuk module=sales dan satu untukdivision=commercial.

  Ekspresi LF-tag yang paling sederhana hanya terdiri dari satu LF-tag, seperti. module=sales

• Prinsipal yang diberikan izin pada LF-tag dengan beberapa nilai dapat mengakses sumber daya Katalog Data dengan salah satu dari nilai tersebut. Misalnya, jika pengguna diberikan LF-tag dengan key= module dan values=orders,customers, pengguna memiliki akses ke sumber daya yang ditetapkan salah satu atau. module=orders module=customers

• Anda harus memiliki Grant with LF-Tag expressions izin untuk memberikan izin data pada sumber daya Katalog Data dengan menggunakan metode LF-TBAC. Administrator data lake dan pembuat LF-tag secara implisit menerima izin ini. Prinsipal yang memiliki Grant with LFTag expressions izin dapat memberikan izin data pada sumber daya menggunakan:

  • metode sumber daya bernama

  • metode LF-TBAC, tetapi hanya menggunakan ekspresi LF-tag yang sama

    Misalnya, asumsikan bahwa administrator data lake membuat hibah berikut (dalam kode semu).

    GRANT (SELECT ON TABLES) ON TAGS module=customers, region=west,south TO user1 WITH GRANT OPTION

    Dalam hal ini, user1 dapat memberikan SELECT pada tabel untuk prinsipal lain dengan menggunakan metode LF-TBAC, tetapi hanya dengan ekspresi LF-tag lengkap. module=customers, region=west,south

• Jika prinsipal diberikan izin pada sumber daya dengan metode LF-TBAC dan metode sumber daya bernama, izin yang dimiliki prinsipal pada sumber daya adalah gabungan izin yang diberikan oleh kedua metode.

• Lake Formation mendukung pemberian DESCRIBE dan penggunaan LF-tag ASSOCIATE di seluruh akun, dan pemberian izin pada sumber daya Katalog Data di seluruh akun menggunakan metode LF-TBAC. Dalam kedua kasus, kepala sekolah adalah ID AWS akun.

  catatan

  Lake Formation mendukung hibah lintas akun untuk organisasi dan unit organisasi menggunakan metode LF-TBAC. Untuk menggunakan kemampuan ini, Anda perlu memperbarui pengaturan versi akun Cross ke Versi 3.

  Untuk informasi selengkapnya, lihat Berbagi data lintas akun di Lake Formation.

• Sumber daya Katalog Data yang dibuat dalam satu akun hanya dapat ditandai menggunakan tag LF yang dibuat di akun yang sama. LF-tag yang dibuat dalam satu akun tidak dapat dikaitkan dengan sumber daya bersama dari akun lain.

• Menggunakan kontrol akses berbasis tag Lake Formation (LF-TBAC) untuk memberikan akses lintas akun ke sumber daya Katalog Data memerlukan penambahan kebijakan sumber daya Katalog Data untuk akun Anda. AWS Untuk informasi selengkapnya, lihat Prasyarat.

• Kunci LF-tag dan nilai LF-tag tidak boleh melebihi 50 karakter panjangnya.

• Jumlah maksimum LF-tag yang dapat ditetapkan ke sumber daya Katalog Data adalah 50.

• Batasan berikut adalah batas lunak:

  • Jumlah maksimum LF-tag yang dapat dibuat adalah 1000.

  • Jumlah maksimum nilai yang dapat didefinisikan untuk LF-tag adalah 1000.

• Kunci dan nilai tag dikonversi ke semua huruf kecil saat disimpan.

• Hanya satu nilai untuk LF-tag yang dapat ditetapkan ke sumber daya tertentu.

• Jika beberapa LF-tag diberikan kepada prinsipal dengan satu hibah, prinsipal hanya dapat mengakses sumber daya Katalog Data yang memiliki semua LF-tag.

• AWS GluePekerjaan ETL membutuhkan akses tabel penuh. Pekerjaan akan gagal jika peran AWS Glue ETL tidak memiliki akses ke semua kolom dalam tabel. Dimungkinkan untuk menerapkan LF-tag pada tingkat kolom, tetapi dapat menyebabkan peran AWS Glue ETL kehilangan akses tabel penuh dan pekerjaan gagal.

• Jika evaluasi ekspresi LF-tag menghasilkan akses ke hanya subset kolom tabel, tetapi izin Lake Formation yang diberikan saat ada kecocokan adalah salah satu izin yang memerlukan akses kolom penuh, yaitu,,, atau Alter Drop InsertDelete, maka tidak ada izin tersebut yang diberikan. Sebaliknya, hanya Describe diberikan. Jika izin yang diberikan adalah All (Super), maka hanya Select dan Describe diberikan.

• Wildcard tidak digunakan dengan LF-tag. Untuk menetapkan LF-tag ke semua kolom tabel, Anda menetapkan LF-tag ke tabel, dan semua kolom dalam tabel mewarisi LF-tag. Untuk menetapkan LF-tag ke semua tabel dalam database, Anda menetapkan LF-tag ke database, dan semua tabel dalam database mewarisi LF-tag tersebut.