Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Skenario contoh izin
Skenario berikut membantu menunjukkan bagaimana Anda dapat mengatur izin untuk mengamankan akses ke data. AWS Lake Formation
Shirley adalah administrator data. Dia ingin mendirikan danau data untuk perusahaannya AnyCompany. Saat ini, semua data disimpan di Amazon S3. John adalah manajer pemasaran dan membutuhkan akses tulis ke informasi pembelian pelanggan (terkandung dalams3://customerPurchases
). Seorang analis pemasaran, Diego, bergabung dengan John musim panas ini. John membutuhkan kemampuan untuk memberikan Diego akses untuk melakukan kueri pada data tanpa melibatkan Shirley.
Mateo, dari keuangan, membutuhkan akses ke data akuntansi kueri (misalnya,s3://transactions
). Dia ingin menanyakan data transaksi dalam tabel dalam database (Finance_DB
) yang digunakan tim keuangan. Manajernya, Arnav, dapat memberinya akses ke. Finance_DB
Meskipun ia seharusnya tidak dapat memodifikasi data akuntansi, ia membutuhkan kemampuan untuk mengubah data menjadi format (skema) yang cocok untuk peramalan. Data ini akan disimpan dalam bucket terpisah (s3://financeForecasts
) yang dapat dimodifikasi.
Untuk meringkas:
-
Shirley adalah administrator data lake.
-
John membutuhkan
CREATE_DATABASE
danCREATE_TABLE
izin untuk membuat database dan tabel baru di Katalog Data. -
John juga membutuhkan
SELECT
,INSERT
, danDELETE
izin pada tabel yang dia buat. -
Diego memerlukan
SELECT
izin di atas meja untuk menjalankan kueri.
Karyawan AnyCompany melakukan tindakan berikut untuk mengatur izin. Operasi API yang ditunjukkan dalam skenario ini menunjukkan sintaks yang disederhanakan untuk kejelasan.
-
Shirley mendaftarkan jalur Amazon S3 yang berisi informasi pembelian pelanggan dengan Lake Formation.
RegisterResource(ResourcePath("s3://customerPurchases"), false, Role_ARN )
-
Shirley memberi John akses ke jalur Amazon S3 yang berisi informasi pembelian pelanggan.
GrantPermissions(John, S3Location("s3://customerPurchases"), [DATA_LOCATION_ACCESS]) )
-
Shirley memberi John izin untuk membuat database.
GrantPermissions(John, catalog, [CREATE_DATABASE])
-
John membuat database
John_DB
. John secara otomatis memilikiCREATE_TABLE
izin pada database itu karena dia membuatnya.CreateDatabase(John_DB)
-
John menciptakan tabel yang
John_Table
menunjuk kes3://customerPurchases
. Karena dia membuat tabel, dia memiliki semua izin di atasnya, dan dapat memberikan izin di atasnya.CreateTable(John_DB, John_Table)
-
John mengizinkan analisnya, Diego, akses ke meja
John_Table
.GrantPermissions(Diego, John_Table, [SELECT])
John mengizinkan analisnya, Diego, akses ke.
s3://customerPurchases/London/
Karena Shirley sudah terdaftars3://customerPurchases
, subfoldernya terdaftar di Lake Formation.GrantDataLakePrivileges( 123456789012/datalake, Diego, [DATA_LOCATION_ACCESS], [], S3Location("s3://customerPurchases/London/") )
John memungkinkan analisnya, Diego, untuk membuat tabel dalam database
John_DB
.GrantDataLakePrivileges( 123456789012/datalake, Diego, John_DB, [CREATE_TABLE], [] )
Diego membuat tabel
John_DB
dis3://customerPurchases/London/
at dan secara otomatis mendapatkanALTER
,,DROP
,,SELECT
INSERT
, danDELETE
izin.CreateTable( 123456789012/datalake, John_DB, Diego_Table )