Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Izin metadata
Lake Formation menyediakan otorisasi dan kontrol akses untuk Katalog Data. Ketika peran IAM membuat panggilan API Katalog Data dari sistem apa pun, Katalog Data memverifikasi izin data pengguna dan hanya mengembalikan metadata yang pengguna memiliki izin untuk mengakses. Misalnya, jika peran IAM hanya memiliki akses ke satu tabel dalam database, dan layanan atau pengguna dengan asumsi peran melakukan GetTables
operasi, respons hanya akan berisi satu tabel, terlepas dari jumlah tabel dalam database.
Pengaturan default - izin IAMAllowedPrincipal
grup
AWS Lake Formation, secara default, menetapkan izin ke semua database dan tabel ke grup virtual bernama. IAMAllowedPrincipal
Grup ini unik dan hanya terlihat di dalam Lake Formation. IAMAllowedPrincipal
Grup ini mencakup semua kepala sekolah IAM yang memiliki akses ke sumber daya Katalog Data melalui kebijakan utama IAM dan kebijakan sumber daya. AWS Glue Jika izin ini ada pada database atau tabel, semua prinsipal akan diberikan akses ke database atau tabel.
Jika Anda ingin memberikan izin yang lebih terperinci pada database atau tabel, hapus IAMAllowedPrincipal
izin dan, Lake Formation memberlakukan semua kebijakan lain yang terkait dengan database atau tabel tersebut. Misalnya, jika ada kebijakan yang memungkinkan Pengguna A mengakses Database A dengan DESCRIBE
izin, dan IAMAllowedPrincipal
ada dengan semua izin, Pengguna A akan terus melakukan semua tindakan lainnya, hingga IAMAllowedPrincipal
izin dicabut.
Selain itu, secara default, IAMAllowedPrincipal
grup memiliki izin pada semua database dan tabel baru saat dibuat. Ada dua konfigurasi yang mengontrol perilaku ini. Yang pertama adalah di akun dan tingkat Wilayah yang memungkinkan ini untuk database yang baru dibuat, dan yang kedua adalah di tingkat database. Untuk mengubah pengaturan default, lihatUbah model izin default atau gunakan mode akses hybrid.
Memberikan izin
Administrator data lake dapat memberikan izin Katalog Data kepada prinsipal sehingga prinsipal dapat membuat dan mengelola database dan tabel, serta dapat mengakses data yang mendasarinya.
Izin basis data dan tingkat tabel
Saat Anda memberikan izin dalam Lake Formation, pemberi harus menentukan prinsipal untuk memberikan izin, sumber daya untuk memberikan izin, dan tindakan yang harus diakses oleh penerima hibah. Untuk sebagian besar sumber daya dalam Lake Formation, daftar utama dan sumber daya untuk memberikan izin serupa, tetapi tindakan yang dapat dilakukan penerima hibah berbeda berdasarkan jenis sumber daya. Misalnya, SELECT
izin tersedia untuk tabel untuk membaca tabel, tetapi SELECT
izin tidak diizinkan pada database. CREATE_TABLE
Izin diizinkan pada database, tetapi tidak pada tabel.
Anda dapat memberikan AWS Lake Formation izin menggunakan dua metode:
Metode sumber daya bernama - Memungkinkan Anda memilih nama database dan tabel sambil memberikan izin kepada pengguna.
-
Kontrol akses berbasis LF-tag (LF-TBAC) — Pengguna membuat LF-tag, mengaitkannya dengan sumber daya Katalog Data, memberikan
Describe
izin pada LF-tag, mengaitkan izin ke pengguna individu, dan menulis kebijakan izin LF menggunakan LF-tag untuk pengguna yang berbeda. Kebijakan berbasis LF-Tag tersebut berlaku untuk semua sumber daya Katalog Data yang terkait dengan nilai LF-tag tersebut.catatan
LF-tag unik untuk Lake Formation. Mereka hanya terlihat di Lake Formation dan tidak boleh bingung dengan tag AWS sumber daya.
LF-TBAC adalah fitur yang memungkinkan pengguna untuk mengelompokkan sumber daya ke dalam kategori LF-tag yang ditentukan pengguna dan menerapkan izin pada grup sumber daya tersebut. Oleh karena itu, ini adalah cara terbaik untuk menskalakan izin di sejumlah besar sumber daya Katalog Data.
Untuk informasi selengkapnya, lihat Kontrol akses berbasis tag Lake Formation.
Saat Anda memberikan izin kepada kepala sekolah, Lake Formation mengevaluasi izin sebagai gabungan dari semua kebijakan untuk pengguna tersebut. Misalnya, jika Anda memiliki dua kebijakan pada tabel untuk prinsipal di mana satu kebijakan memberikan izin ke kolom col1, col2, dan col3 melalui metode sumber daya bernama, dan kebijakan lainnya memberikan izin ke tabel dan prinsipal yang sama ke col5, dan col6 melalui LF-tag, izin efektif akan menjadi gabungan izin yang akan menjadi col1, col2, col3, col5, dan col6. Ini juga termasuk filter data dan baris.
Izin lokasi data
Izin lokasi data memberi pengguna non-administratif kemampuan untuk membuat database dan tabel di lokasi Amazon S3 tertentu. Jika pengguna mencoba membuat database atau tabel di lokasi yang tidak memiliki izin untuk dibuat, tugas pembuatan gagal. Hal ini untuk mencegah pengguna membuat tabel di lokasi arbitrer dalam data lake dan memberikan kontrol atas di mana pengguna dapat membaca dan menulis data. Ada izin implisit saat membuat tabel di lokasi Amazon S3 dalam database tempat ia dibuat. Untuk informasi selengkapnya, lihat Memberikan izin lokasi data.
Buat izin tabel dan database
Pengguna non-administratif secara default tidak memiliki izin untuk membuat database atau tabel dalam database. Pembuatan database dikendalikan di tingkat akun menggunakan pengaturan Lake Formation sehingga hanya kepala sekolah yang berwenang yang dapat membuat database. Untuk informasi selengkapnya, lihat Membuat basis data. Untuk membuat tabel, prinsipal memerlukan CREATE_TABLE
izin pada database tempat tabel sedang dibuat. Untuk informasi selengkapnya, lihat Membuat tabel.
Izin implisit dan eksplisit
Lake Formation memberikan izin implisit tergantung pada persona dan tindakan yang dilakukan persona. Misalnya, administrator data lake secara otomatis mendapatkan DESCRIBE
izin ke semua sumber daya dalam Katalog Data, izin lokasi data ke semua lokasi, izin untuk membuat database dan tabel di semua lokasi, serta Grant
izin pada sumber daya apa pun. Revoke
Pembuat database secara otomatis mendapatkan semua izin database pada database yang mereka buat, dan pembuat tabel mendapatkan semua izin pada tabel yang mereka buat. Untuk informasi selengkapnya, lihat Izin Lake Formation Implisit.
Izin yang dapat diberikan
Administrator data lake memiliki kemampuan untuk mendelegasikan pengelolaan izin kepada pengguna non-administratif dengan memberikan izin yang dapat diberikan. Ketika prinsipal diberikan izin yang dapat diberikan pada sumber daya dan serangkaian izin, prinsipal tersebut memperoleh kemampuan untuk memberikan izin kepada prinsipal lain pada sumber daya tersebut.