Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Concessione delle autorizzazioni per il data lake utilizzando il metodo LF- TBAC
Puoi concedere le autorizzazioni DESCRIBE
e ASSOCIATE
Lake Formation sui tag LF ai mandanti in modo che possano visualizzare i tag LF e assegnarli alle risorse del Data Catalog (database, tabelle, viste e colonne). Quando i tag LF vengono assegnati alle risorse del Data Catalog, è possibile utilizzare il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC) per proteggere tali risorse. Per ulteriori informazioni, consulta Controllo degli accessi basato su tag Lake Formation.
Inizialmente, solo l'amministratore del data lake può concedere queste autorizzazioni. Se l'amministratore del data lake concede queste autorizzazioni con l'opzione di concessione, altri responsabili possono concederle. Le ASSOCIATE
autorizzazioni DESCRIBE
e sono spiegate in. Buone pratiche e considerazioni per il controllo degli accessi basato su tag Lake Formation
È possibile concedere le ASSOCIATE
autorizzazioni DESCRIBE
and su un tag LF a un account esterno. AWS Un amministratore di data lake in quell'account può quindi concedere tali autorizzazioni ad altri responsabili dell'account. I responsabili a cui l'amministratore del data lake dell'account esterno concede l'ASSOCIATE
autorizzazione possono quindi assegnare LF-Tags alle risorse del Data Catalog che hai condiviso con il loro account.
Quando si concede a un account esterno, è necessario includere l'opzione di concessione.
È possibile concedere le autorizzazioni sui tag LF utilizzando la AWS Lake Formation consoleAPI, il o (). AWS Command Line Interface AWS CLI
Concessione delle autorizzazioni di Data Catalog
Usa la console Lake Formation o AWS CLI concedi le autorizzazioni di Lake Formation su database, tabelle, viste e colonne di Data Catalog utilizzando il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC).
- Console
-
I passaggi seguenti spiegano come concedere le autorizzazioni utilizzando il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC) e la pagina Grant data lake permissions sulla console Lake Formation. La pagina è suddivisa nelle seguenti sezioni:
-
Principi: utenti, ruoli e autorizzazioni Account AWS a cui concedere le autorizzazioni.
-
Tag LF o risorse del catalogo: database, tabelle o collegamenti a risorse a cui concedere le autorizzazioni.
-
Autorizzazioni: autorizzazioni da concedere a The Lake Formation.
-
Apri la pagina Concedi le autorizzazioni del data lake.
Apri la AWS Lake Formation console all'indirizzo https://console.aws.amazon.com/lakeformation/e accedi come amministratore del data lake o come utente a cui sono state concesse le autorizzazioni Lake Formation sulle risorse di Data Catalog tramite LF- TBAC con l'opzione di concessione.
Nel pannello di navigazione, in Autorizzazioni, scegli Autorizzazioni Data lake. Quindi scegli Concedi.
-
Specificate i principali.
Nella sezione Principali, scegli un tipo principale, quindi specifica i principali a cui concedere le autorizzazioni.
- IAMutenti e ruoli
-
Scegli uno o più utenti o ruoli dall'elenco IAMutenti e ruoli.
- IAMIdentity Center
-
Scegli uno o più utenti o dall'elenco Utenti e gruppi.
- SAML users and groups
-
Per QuickSight utenti SAML e gruppi Amazon, inserisci uno o più Amazon Resource Names (ARNs) per utenti o gruppi federati tramite SAML Amazon o ARNs per QuickSight utenti o gruppi Amazon. Premi Invio dopo ciascunoARN.
Per informazioni su come costruire ilARNs, vedereComandi di concessione e AWS CLI revoca di Lake Formation.
L'integrazione di Lake Formation con Amazon QuickSight è supportata solo per Amazon QuickSight Enterprise Edition.
- Account esterni
-
Per Account AWS, AWS organizzazione o IAMresponsabile, inserire una o più organizzazioni Account AWS IDs IDsIDs, unità organizzative valide o ARN per l'IAMutente o il ruolo. Premi Invio dopo ogni ID.
Un ID dell'organizzazione è composto da «o-» seguito da 10-32 lettere o cifre minuscole.
L'ID di un'unità organizzativa inizia con «ou-» seguito da 4 a 32 lettere o cifre minuscole (l'ID della radice che contiene l'unità organizzativa). Questa stringa è seguita da un secondo trattino «-» e da 8 a 32 lettere o cifre minuscole aggiuntive.
-
Specificate i tag LF.
Assicuratevi che sia selezionata l'opzione Risorse abbinate ai tag LF. Scegli Aggiungi tag LF.
-
Scegliete una chiave e dei valori LF-Tag.
Se scegliete più di un valore, state creando un'espressione LF-Tag con un operatore. OR
Ciò significa che se uno qualsiasi dei valori del tag LF corrisponde a un tag LF assegnato a una risorsa del Data Catalog, vengono concesse le autorizzazioni sulla risorsa.
-
(Facoltativo) Scegliete nuovamente Aggiungi tag LF per specificare un altro tag LF.
Se specificate più di un tag LF, state creando un'espressione di tag LF con un operatore. AND
Al principale vengono concesse le autorizzazioni su una risorsa del Data Catalog solo se alla risorsa è stato assegnato un tag LF corrispondente per ogni tag LF nell'espressione del tag LF.
-
Specificare le autorizzazioni.
Specificate le autorizzazioni che desiderate concedere al principale per le risorse del Data Catalog corrispondenti. Le risorse corrispondenti sono quelle a cui sono stati assegnati tag LF che corrispondono a una delle espressioni LF-Tag concesse al principale.
È possibile specificare le autorizzazioni da concedere ai database corrispondenti, alle tabelle corrispondenti e alle viste corrispondenti.
In Autorizzazioni database, seleziona le autorizzazioni del database da concedere al principale sui database corrispondenti.
In Autorizzazioni per le tabelle, seleziona le autorizzazioni per la tabella o la visualizzazione da concedere al principale per le tabelle e le viste corrispondenti.
Puoi anche scegliere tra Select
le Describe
Drop
autorizzazioni della tabella e applicare alle viste le autorizzazioni.
-
Scegli Concessione.
- AWS CLI
-
Puoi utilizzare il metodo AWS Command Line Interface (AWS CLI) e il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC) per concedere le autorizzazioni di Lake Formation su database, tabelle e colonne di Data Catalog.
Concessione delle autorizzazioni per il data lake utilizzando il metodo AWS CLI and LF- TBAC