Buone pratiche e considerazioni per il controllo degli accessi basato su tag Lake Formation - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Buone pratiche e considerazioni per il controllo degli accessi basato su tag Lake Formation

È possibile creare, gestire e assegnare LF-tags per controllare l'accesso ai database, alle tabelle e alle colonne del Data Catalog.

Prendi in considerazione le seguenti best practice quando utilizzi il controllo degli accessi basato su tag Lake Formation:

  • Tutti i tag LF devono essere predefiniti prima di poter essere assegnati alle risorse del Data Catalog o concessi ai responsabili.

    L'amministratore del data lake può delegare le attività di gestione dei tag creando creatori di tag LF con le autorizzazioni richieste. IAM Gli ingegneri e gli analisti dei dati decidono le caratteristiche e le relazioni dei tag LF. I creatori di LF-tag creano quindi e mantengono i tag LF in Lake Formation.

  • È possibile assegnare più LF-tag alle risorse del Data Catalog. È possibile assegnare un solo valore per una particolare chiave a una particolare risorsa.

    Ad esempio, è possibile assegnaremodule=Orders, region=Westdivision=Consumer, e così via a un database, una tabella o una colonna. Non puoi module=Orders,Customers assegnare.

  • Non è possibile assegnare tag LF alle risorse quando si crea la risorsa. È possibile aggiungere tag LF solo alle risorse esistenti.

  • È possibile concedere espressioni LF-Tag, non solo singoli tag LF, a un principale.

    Un'espressione LF-Tag ha un aspetto simile alla seguente (in pseudo-codice).

    module=sales AND division=(consumer OR commercial)

    Un principale a cui è concessa questa espressione LF-Tag può accedere solo alle risorse del Data Catalog (database, tabelle e colonne) assegnate e a una delle due opzioni. module=sales division=consumer division=commercial Se desideri che il principale sia in grado di accedere a risorse che dispongono module=sales o meno division=commercial di includerle entrambe nella stessa concessione. Fai due sovvenzioni, una per module=sales e una perdivision=commercial.

    L'espressione più semplice del tag LF è costituita da un solo tag LF, ad esempio. module=sales

  • Un principale a cui sono concesse le autorizzazioni per un tag LF con più valori può accedere alle risorse del Data Catalog con uno di questi valori. Ad esempio, se a un utente viene concesso un tag LF con key= module e values=orders,customers, l'utente ha accesso alle risorse assegnate o. module=orders module=customers

  • È necessario disporre Grant with LF-Tag expressions dell'autorizzazione per concedere le autorizzazioni relative ai dati sulle risorse del Catalogo dati utilizzando il metodo LF-. TBAC L'amministratore del data lake e il creatore del tag LF ricevono implicitamente questa autorizzazione. Un principale che dispone dell'Grant with LFTag expressionsautorizzazione può concedere le autorizzazioni relative ai dati sulle risorse utilizzando:

    • il metodo di risorsa denominato

    • il TBAC metodo LF-, ma utilizzando solo la stessa espressione LF-tag

      Ad esempio, supponiamo che l'amministratore del data lake conceda la seguente concessione (in pseudo-codice).

      GRANT (SELECT ON TABLES) ON TAGS module=customers, region=west,south TO user1 WITH GRANT OPTION

      In questo caso, user1 può concedere SELECT tabelle ad altri principali utilizzando il TBAC metodo LF-, ma solo con l'espressione LF-tag completa. module=customers, region=west,south

  • Se a un principale vengono concesse le autorizzazioni su una risorsa sia con il metodo LF- che con il TBAC metodo della risorsa denominata, i permessi che il principale ha sulla risorsa sono l'unione dei permessi concessi da entrambi i metodi.

  • Lake Formation supporta la concessione DESCRIBE e ASSOCIATE l'eliminazione dei tag LF tra gli account e la concessione di autorizzazioni sulle risorse del Data Catalog tra gli account utilizzando il metodo LF-. TBAC In entrambi i casi, il principale è l'ID dell'account. AWS

    Nota

    Lake Formation supporta sovvenzioni tra account a organizzazioni e unità organizzative utilizzando il metodo LF-TBAC. Per utilizzare questa funzionalità, è necessario aggiornare le impostazioni della versione di Cross account alla versione 3.

    Per ulteriori informazioni, consulta Condivisione dei dati tra account in Lake Formation.

  • Le risorse del Data Catalog create in un account possono essere etichettate solo utilizzando i tag LF creati nello stesso account. I tag LF creati in un account non possono essere associati a risorse condivise di un altro account.

  • L'utilizzo del controllo degli accessi basato su tag Lake Formation (LF-TBAC) per concedere l'accesso tra account alle risorse del Data Catalog richiede aggiunte alla politica delle risorse del Data Catalog per il tuo account. AWS Per ulteriori informazioni, consulta Prerequisiti.

  • Le chiavi LF-tag e i valori dei tag LF non possono superare i 50 caratteri di lunghezza.

  • Il numero massimo di tag LF che possono essere assegnati a una risorsa del Data Catalog è 50.

  • I seguenti limiti sono limiti flessibili:

    • Il numero massimo di tag LF che è possibile creare è 1000.

    • Il numero massimo di valori che possono essere definiti per un LF-tag è 1000.

  • Le chiavi e i valori dei tag vengono convertiti in lettere minuscole quando vengono memorizzati.

  • È possibile assegnare un solo valore per un tag LF a una particolare risorsa.

  • Se vengono concessi più LF-tag a un principale con un'unica concessione, il principale può accedere solo alle risorse del Data Catalog che contengono tutti i tag LF.

  • AWS Glue ETLi lavori richiedono l'accesso completo alla tabella. I processi falliranno se AWS Glue ETL il ruolo non ha accesso a tutte le colonne di una tabella. È possibile applicare i tag LF a livello di colonna, ma ciò può far sì che i AWS Glue ETL ruoli perdano l'accesso completo alla tabella e che i job falliscano.

  • Se la valutazione di un'espressione LF-Tag comporta l'accesso solo a un sottoinsieme di colonne della tabella, ma l'autorizzazione Lake Formation concessa in caso di corrispondenza è una delle autorizzazioni che richiedevano l'accesso completo alla colonna, vale a dire,, o Alter Drop InsertDelete, allora nessuna di queste autorizzazioni viene concessa. Invece, viene concesso solo. Describe Se l'autorizzazione concessa è All (Super), allora solo Select e Describe vengono concesse.

  • I wildcard non vengono utilizzati con i tag LF. Per assegnare un tag LF a tutte le colonne di una tabella, si assegna il tag LF alla tabella e tutte le colonne della tabella ereditano il tag LF. Per assegnare un tag LF a tutte le tabelle di un database, si assegna il tag LF al database e tutte le tabelle del database ereditano quel tag LF.