Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Modifica delle impostazioni predefinite per il data lake
Per mantenere la retrocompatibilità conAWS Glue, AWS Lake Formation dispone delle seguenti impostazioni di sicurezza iniziali:
-
L'
Superautorizzazione viene concessa al gruppoIAMAllowedPrincipalssu tutte le risorse del AWS Glue Data Catalog esistenti. -
Le impostazioni «Usa solo il controllo di accesso IAM» sono abilitate per le nuove risorse del Data Catalog.
Queste impostazioni fanno sì che l'accesso alle risorse di Data Catalog e alle sedi Amazon S3 sia controllato esclusivamente da policy AWS Identity and Access Management (IAM). Le autorizzazioni individuali di Lake Formation non sono valide.
Il IAMAllowedPrincipals gruppo include tutti gli utenti e i ruoli IAM a cui è consentito l'accesso alle risorse del Data Catalog in base alle politiche IAM. L'Superautorizzazione consente a un principale di eseguire tutte le operazioni di Lake Formation supportate sul database o sulla tabella su cui è concessa.
Per modificare le impostazioni di sicurezza in modo che l'accesso alle risorse del Data Catalog (database e tabelle) sia gestito dalle autorizzazioni di Lake Formation, procedi come segue:
-
Modifica le impostazioni di sicurezza predefinite per le nuove risorse. Per istruzioni, consulta Modifica il modello di autorizzazione predefinito o utilizza la modalità di accesso ibrida.
-
Modifica le impostazioni per le risorse esistenti del Data Catalog. Per istruzioni, consulta Aggiornamento delle autorizzazioni per AWS Glue i dati al modello AWS Lake Formation.
Modifica delle impostazioni di sicurezza predefinite utilizzando l'operazione dell'PutDataLakeSettingsAPI Lake Formation
Puoi anche modificare le impostazioni di sicurezza predefinite utilizzando l'operazione PutDataLakeSettingsAPI Lake Formation. Questa azione utilizza come argomenti un ID di catalogo e una DataLakeSettingsstruttura opzionali.
Per applicare i metadati e il controllo dell'accesso ai dati sottostanti da parte di Lake Formation su nuovi database e tabelle, codifica la DataLakeSettings struttura come segue.
Nota
Sostituisci <AccountID>con un ID AWS account valido e <Username>con un nome utente IAM valido. Puoi specificare più di un utente come amministratore del data lake.
{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>" } ], "CreateDatabaseDefaultPermissions": [], "CreateTableDefaultPermissions": [] } }
È inoltre possibile codificare la struttura come segue. Omettere il CreateTableDefaultPermissions parametro CreateDatabaseDefaultPermissions or equivale a passare un elenco vuoto.
{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>" } ] } }
Questa azione revoca efficacemente tutte le autorizzazioni di Lake Formation dal IAMAllowedPrincipals gruppo su nuovi database e tabelle. Quando crei un database, puoi sovrascrivere questa impostazione.
Per applicare i metadati e il controllo dell'accesso ai dati sottostanti solo da parte di IAM su nuovi database e tabelle, codifica la DataLakeSettings struttura come segue.
{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>" } ], "CreateDatabaseDefaultPermissions": [ { "Principal": { "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS" }, "Permissions": [ "ALL" ] } ], "CreateTableDefaultPermissions": [ { "Principal": { "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS" }, "Permissions": [ "ALL" ] } ] } }
Ciò concede a Super Lake Formation l'autorizzazione al IAMAllowedPrincipals gruppo su nuovi database e tabelle. Quando crei un database, puoi sovrascrivere questa impostazione.
Nota
Nella DataLakeSettings struttura precedente, l'unico valore consentito per DataLakePrincipalIdentifier è e IAM_ALLOWED_PRINCIPALS l'unico valore consentito per Permissions è. ALL
