Mengelola LF-tag untuk kontrol akses metadata

Untuk menggunakan metode kontrol akses berbasis tag Lake Formation (LF-TBAC) untuk mengamankan sumber daya Katalog Data (database, tabel, dan kolom), Anda membuat LF-tag, menetapkannya ke sumber daya, dan memberikan izin LF-tag ke kepala sekolah.

Sebelum Anda dapat menetapkan LF-tag ke sumber daya Katalog Data atau memberikan izin kepada prinsipal, Anda perlu menentukan LF-tag. Hanya administrator data lake atau prinsipal dengan izin pembuat LF-tag yang dapat membuat LF-tag.

Pembuat LF-tag

Pembuat LF-tag adalah kepala sekolah non-admin yang memiliki izin untuk membuat dan mengelola LF-tag. Administrator data lake dapat menambahkan pembuat LF-tag menggunakan konsol Lake Formation atau CLI. Pembuat LF-tag memiliki izin Lake Formation implisit untuk memperbarui, dan menghapus LF-tag, untuk menetapkan LF-tag ke sumber daya, dan untuk memberikan izin LF-tag dan izin nilai LF-tag ke prinsipal lain.

Dengan peran pembuat LF-tag, administrator data lake dapat mendelegasikan tugas manajemen tag seperti membuat dan memperbarui kunci dan nilai tag ke prinsipal non-admin. Administrator data lake juga dapat memberikan izin yang dapat diberikan kepada pembuat LF-tag. Create LF-Tag Kemudian, pembuat LF-tag dapat memberikan izin untuk membuat LF-tag ke prinsipal lain.

Anda dapat memberikan dua jenis izin pada LF-tag:

• Izin LF-tag -Create LF-Tag,, Alter dan. Drop Izin ini diperlukan untuk membuat, memperbarui, dan menghapus LF-tag.

  Administrator data lake dan pembuat LF-tag secara implisit memiliki izin ini pada LF-tag yang mereka buat dan dapat memberikan izin ini secara eksplisit kepada prinsipal untuk mengelola tag di data lake.

• Izin pasangan nilai kunci LF-tag -,, dan. Assign Describe Grant with LF-Tag expressions Izin ini diperlukan untuk menetapkan LF-tag ke database, tabel, dan kolom Katalog Data, dan untuk memberikan izin pada sumber daya kepada prinsipal menggunakan kontrol akses berbasis tag Lake Formation. Pembuat LF-tag secara implisit menerima izin ini saat membuat LF-tag.

Setelah menerima Create LF-Tag izin dan berhasil membuat LF-tag, pembuat LF-tag dapat menetapkan LF-tag ke sumber daya dan memberikan izin LF-tag (Create LF-Tag,, AlterDrop, dan) kepada prinsipal non-administratif lainnya untuk mengelola tag di danau data. Anda dapat mengelola LF-tag menggunakan konsol Lake Formation, API, atau AWS Command Line Interface ()AWS CLI.

catatan

Administrator data lake memiliki izin Lake Formation implisit untuk membuat, memperbarui, dan menghapus LF-tag, untuk menetapkan LF-tag ke sumber daya, dan untuk memberikan izin LF-tag kepada prinsipal.

Untuk praktik dan pertimbangan terbaik, lihat Praktik dan pertimbangan terbaik kontrol akses berbasis tag Lake Formation

Topik

• Menambahkan kreator LF-tag
• Membuat LF-tag
• Memperbarui LF-tag
• Menghapus LF-tag
• Daftar LF-tag
• Menetapkan LF-tag ke sumber daya Katalog Data
• Melihat LF-tag yang ditetapkan ke sumber daya
• Melihat sumber daya yang ditetapkan LF-tag
• Siklus hidup LF-tag
• Perbandingan kontrol akses berbasis tag Lake Formation dengan kontrol akses berbasis atribut IAM

Lihat juga

• Pemberian, pencabutan, dan daftar izin nilai LF-tag

• Memberikan izin data lake menggunakan metode LF-TBAC

• Kontrol akses berbasis tag Lake Formation

Siklus hidup LF-tag

1. Pencipta LF-tag Michael menciptakan LF-tag. module=Customers

2. Michael memberikan LF-tag Associate kepada insinyur data Eduardo. Memberikan hibah Associate implisit. Describe

3. Michael memberikan Super di atas meja Custs kepada Eduardo dengan opsi hibah, sehingga Eduardo dapat menetapkan LF-tag ke meja. Untuk informasi selengkapnya, lihat Menetapkan LF-tag ke sumber daya Katalog Data.

4. Eduardo memberikan LF-tag module=customers ke meja. Custs

5. Michael memberikan hibah berikut kepada insinyur data Sandra (dalam kode semu).

   GRANT (SELECT, INSERT ON TABLES) ON TAGS module=customers TO Sandra WITH GRANT OPTION

6. Sandra memberikan hibah berikut kepada analis data Maria.

   GRANT (SELECT ON TABLES) ON TAGS module=customers TO Maria

   Maria sekarang dapat menjalankan kueri di atas Custs meja.

Lihat juga

• Kontrol akses metadata

Perbandingan kontrol akses berbasis tag Lake Formation dengan kontrol akses berbasis atribut IAM

Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut. Dalam AWS, atribut ini disebut tag. Anda dapat melampirkan tag ke sumber daya IAM, termasuk entitas IAM (pengguna atau peran) dan sumber daya. AWS Anda dapat membuat kebijakan ABAC tunggal atau set kecil kebijakan untuk penanggung jawab IAM Anda. Kebijakan ABAC ini dapat dirancang untuk memungkinkan operasi ketika tag penanggung jawab cocok dengan tag sumber daya. ABAC sangat membantu di lingkungan yang berkembang dengan cepat dan membantu dalam situasi ketika manajemen kebijakan menjadi rumit.

Tim keamanan dan tata kelola cloud menggunakan IAM untuk menentukan kebijakan akses dan izin keamanan untuk semua sumber daya termasuk bucket Amazon S3, instans Amazon EC2, dan sumber daya apa pun yang dapat Anda referensikan dengan ARN. Kebijakan IAM menentukan izin luas (berbutir kasar) ke sumber daya data lake Anda, misalnya, untuk mengizinkan atau menolak akses di bucket Amazon S3 atau tingkat awalan atau tingkat basis data. Untuk informasi lebih lanjut tentang IAM ABAC, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.

Misalnya, Anda dapat membuat tiga peran dengan kunci tanda project-access. Mengatur nilai tanda dari peran pertama ke Dev, yang kedua ke Marketing, dan yang ketiga ke Support. Tetapkan tag dengan nilai yang sesuai untuk sumber daya. Anda kemudian dapat menggunakan kebijakan tunggal yang memungkinkan akses ketika peran dan sumber daya ditandai dengan nilai yang sama untuk project-access.

Tim tata kelola data menggunakan Lake Formation untuk menentukan izin berbutir halus ke sumber daya data lake tertentu. LF-tag ditetapkan ke sumber daya Katalog Data (database, tabel, dan kolom) dan diberikan kepada prinsipal. Prinsipal dengan LF-tag yang cocok dengan LF-tag sumber daya dapat mengakses sumber daya tersebut. Izin Lake Formation adalah sekunder dari izin IAM. Misalnya, jika izin IAM tidak mengizinkan pengguna mengakses data lake, Lake Formation tidak memberikan akses ke sumber daya apa pun di dalam data lake tersebut kepada pengguna tersebut, meskipun prinsipal dan sumber daya memiliki tag LF yang cocok.

Kontrol akses berbasis tag Lake Formation (LF-TBAC) bekerja dengan IAM ABAC untuk memberikan tingkat izin tambahan untuk data dan sumber daya Lake Formation Anda.

• Skala izin Lake Formation TBAC dengan inovasi. Administrator idak perlu lagi memperbarui kebijakan yang ada untuk memungkinkan akses ke sumber daya baru. Misalnya, asumsikan bahwa Anda menggunakan strategi IAM ABAC dengan project-access tag untuk menyediakan akses ke database tertentu dalam Lake Formation. Menggunakan LF-TBAC, LF-tag Project=SuperApp ditetapkan ke tabel atau kolom tertentu, dan LF-tag yang sama diberikan kepada pengembang untuk proyek itu. Melalui IAM, pengembang dapat mengakses database, dan izin LF-TBAC memberikan pengembang akses lebih lanjut ke tabel atau kolom tertentu dalam tabel. Jika tabel baru ditambahkan ke proyek, administrator Lake Formation hanya perlu menetapkan tag ke tabel baru agar pengembang diberi akses ke tabel.

• Lake Formation TBAC membutuhkan lebih sedikit kebijakan IAM. Karena Anda menggunakan kebijakan IAM untuk memberikan akses tingkat tinggi ke sumber daya Lake Formation dan Lake Formation TBAC untuk mengelola akses data yang lebih tepat, Anda membuat lebih sedikit kebijakan IAM.

• Menggunakan Lake Formation TBAC, tim dapat berubah dan tumbuh dengan cepat. Ini karena izin untuk sumber daya baru secara otomatis diberikan berdasarkan atribut. Misalnya, jika pengembang baru bergabung dengan proyek, mudah untuk memberikan akses pengembang ini dengan mengaitkan peran IAM ke pengguna dan kemudian menetapkan LF-tag yang diperlukan kepada pengguna. Anda tidak perlu mengubah kebijakan IAM untuk mendukung proyek baru atau membuat LF-tag baru.

• Izin berbutir halus dimungkinkan menggunakan Lake Formation TBAC. Kebijakan IAM memberikan akses ke sumber daya tingkat atas, seperti database atau tabel Katalog Data. Menggunakan Lake Formation TBAC, Anda dapat memberikan akses ke tabel atau kolom tertentu yang berisi nilai data tertentu.

catatan

Tag IAM tidak sama dengan LF-tag. Tag ini tidak dapat dipertukarkan. LF-tag digunakan untuk memberikan izin Lake Formation dan tag IAM digunakan untuk menentukan kebijakan IAM.