Metodi per il controllo granulare degli accessi

Con un data lake, l'obiettivo è avere un controllo granulare degli accessi ai dati. In Lake Formation, ciò significa un controllo granulare degli accessi alle risorse del Data Catalog e alle sedi Amazon S3. Puoi ottenere un controllo granulare degli accessi con uno dei seguenti metodi.

Metodo Autorizzazioni Lake Formation Autorizzazioni IAM Commenti

Metodo 1

Aperta

A grana fine

Metodo	Autorizzazioni Lake Formation	Autorizzazioni IAM	Commenti
Metodo 1	Aperta	A grana fine	Questo è il metodo predefinito per la compatibilità con le versioni precedenti con. AWS Glue Aperto significa che l'autorizzazione speciale `Super` viene concessa al gruppo`IAMAllowedPrincipals`, dove `IAMAllowedPrincipals` viene creata automaticamente e include tutti gli utenti e i ruoli IAM a cui è consentito l'accesso alle risorse del tuo Data Catalog dalle tue politiche IAM, e l'`Super`autorizzazione consente a un principale di eseguire ogni operazione Lake Formation supportata sul database o sulla tabella su cui è concessa. Ciò fa sì che l'accesso alle risorse del Data Catalog e alle sedi Amazon S3 sia controllato esclusivamente dalle policy IAM. Per ulteriori informazioni, consultare Modifica delle impostazioni predefinite per il data lake e Aggiornamento delle autorizzazioni per AWS Glue i dati al modello AWS Lake Formation. Con criteri granulari si intende che le policy IAM controllano tutti gli accessi alle risorse del Data Catalog e ai singoli bucket Amazon S3. Sulla console Lake Formation, questo metodo appare come Usa solo il controllo di accesso IAM.
Metodo 2	A grana fine	A grana grossa	Questo è il metodo consigliato. L'accesso granulare significa concedere autorizzazioni limitate di Lake Formation a singoli responsabili sulle risorse Data Catalog, sulle sedi Amazon S3 e sui dati sottostanti in tali sedi. Graduale significa autorizzazioni più ampie per le singole operazioni e per l'accesso alle sedi Amazon S3. Ad esempio, una policy IAM a grana grossolana potrebbe includere, `"glue:"` o `"glue:Create"` piuttosto `"glue:CreateTables"` che lasciare, le autorizzazioni di Lake Formation per controllare se un principale può creare o meno oggetti di catalogo. Significa anche dare ai responsabili l'accesso alle API di cui hanno bisogno per svolgere il loro lavoro, bloccando al contempo altre API e risorse. Ad esempio, potresti creare una policy IAM che consenta a un responsabile di creare risorse Data Catalog e creare ed eseguire flussi di lavoro, ma non consenta la creazione di AWS Glue connessioni o funzioni definite dall'utente. Vedi gli esempi più avanti in questa sezione.

Questo è il metodo predefinito per la compatibilità con le versioni precedenti con. AWS Glue

Aperto significa che l'autorizzazione speciale Super viene concessa al gruppoIAMAllowedPrincipals, dove IAMAllowedPrincipals viene creata automaticamente e include tutti gli utenti e i ruoli IAM a cui è consentito l'accesso alle risorse del tuo Data Catalog dalle tue politiche IAM, e l'Superautorizzazione consente a un principale di eseguire ogni operazione Lake Formation supportata sul database o sulla tabella su cui è concessa. Ciò fa sì che l'accesso alle risorse del Data Catalog e alle sedi Amazon S3 sia controllato esclusivamente dalle policy IAM. Per ulteriori informazioni, consultare Modifica delle impostazioni predefinite per il data lake e Aggiornamento delle autorizzazioni per AWS Glue i dati al modello AWS Lake Formation.
Con criteri granulari si intende che le policy IAM controllano tutti gli accessi alle risorse del Data Catalog e ai singoli bucket Amazon S3.

Sulla console Lake Formation, questo metodo appare come Usa solo il controllo di accesso IAM.

Metodo 2

A grana fine

A grana grossa

Questo è il metodo consigliato.

L'accesso granulare significa concedere autorizzazioni limitate di Lake Formation a singoli responsabili sulle risorse Data Catalog, sulle sedi Amazon S3 e sui dati sottostanti in tali sedi.
Graduale significa autorizzazioni più ampie per le singole operazioni e per l'accesso alle sedi Amazon S3. Ad esempio, una policy IAM a grana grossolana potrebbe includere, "glue:*" o "glue:Create*" piuttosto "glue:CreateTables" che lasciare, le autorizzazioni di Lake Formation per controllare se un principale può creare o meno oggetti di catalogo. Significa anche dare ai responsabili l'accesso alle API di cui hanno bisogno per svolgere il loro lavoro, bloccando al contempo altre API e risorse. Ad esempio, potresti creare una policy IAM che consenta a un responsabile di creare risorse Data Catalog e creare ed eseguire flussi di lavoro, ma non consenta la creazione di AWS Glue connessioni o funzioni definite dall'utente. Vedi gli esempi più avanti in questa sezione.

Importante

Ricorda quanto segue:

Per impostazione predefinita, Lake Formation ha le impostazioni di controllo degli accessi Use only IAM abilitate per la compatibilità con il comportamento esistente del AWS Glue Data Catalog. Ti consigliamo di disabilitare queste impostazioni dopo la transizione all'utilizzo delle autorizzazioni di Lake Formation. Per ulteriori informazioni, consulta Modifica delle impostazioni predefinite per il data lake.
Gli amministratori di Data Lake e i creatori di database dispongono di autorizzazioni implicite di Lake Formation che devi comprendere. Per ulteriori informazioni, consulta Autorizzazioni implicite di Lake Formation.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Panoramica delle autorizzazioni di Lake Formation

Controllo dell'accesso ai metadati