Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Buone pratiche e considerazioni per il controllo degli accessi basato su tag Lake Formation
È possibile creare, gestire e assegnare LF-tags per controllare l'accesso ai database, alle tabelle e alle colonne del Data Catalog.
Prendi in considerazione le seguenti best practice quando utilizzi il controllo degli accessi basato su tag Lake Formation:
-
Tutti i tag LF devono essere predefiniti prima di poter essere assegnati alle risorse del Data Catalog o concessi ai responsabili.
L'amministratore del data lake può delegare le attività di gestione dei tag creando creatori di tag LF con le autorizzazioni richieste. IAM Gli ingegneri e gli analisti dei dati decidono le caratteristiche e le relazioni dei tag LF. I creatori di LF-tag creano quindi e mantengono i tag LF in Lake Formation.
-
È possibile assegnare più LF-tag alle risorse del Data Catalog. È possibile assegnare un solo valore per una particolare chiave a una particolare risorsa.
Ad esempio, è possibile assegnare
module=Orders
,region=West
division=Consumer
, e così via a un database, una tabella o una colonna. Non puoimodule=Orders,Customers
assegnare. -
Non è possibile assegnare tag LF alle risorse quando si crea la risorsa. È possibile aggiungere tag LF solo alle risorse esistenti.
-
È possibile concedere espressioni LF-Tag, non solo singoli tag LF, a un principale.
Un'espressione LF-Tag ha un aspetto simile alla seguente (in pseudo-codice).
module=sales AND division=(consumer OR commercial)
Un principale a cui è concessa questa espressione LF-Tag può accedere solo alle risorse del Data Catalog (database, tabelle e colonne) assegnate e a una delle due opzioni.
module=sales
division=consumer
division=commercial
Se desideri che il principale sia in grado di accedere a risorse che dispongonomodule=sales
o menodivision=commercial
di includerle entrambe nella stessa concessione. Fai due sovvenzioni, una permodule=sales
e una perdivision=commercial
.L'espressione più semplice del tag LF è costituita da un solo tag LF, ad esempio.
module=sales
-
Un principale a cui sono concesse le autorizzazioni per un tag LF con più valori può accedere alle risorse del Data Catalog con uno di questi valori. Ad esempio, se a un utente viene concesso un tag LF con key=
module
e values=orders,customers
, l'utente ha accesso alle risorse assegnate o.module=orders
module=customers
-
È necessario disporre
Grant with LF-Tag expressions
dell'autorizzazione per concedere le autorizzazioni relative ai dati sulle risorse del Catalogo dati utilizzando il metodo LF-. TBAC L'amministratore del data lake e il creatore del tag LF ricevono implicitamente questa autorizzazione. Un principale che dispone dell'Grant with LFTag expressions
autorizzazione può concedere le autorizzazioni relative ai dati sulle risorse utilizzando:-
il metodo di risorsa denominato
-
il TBAC metodo LF-, ma utilizzando solo la stessa espressione LF-tag
Ad esempio, supponiamo che l'amministratore del data lake conceda la seguente concessione (in pseudo-codice).
GRANT (SELECT ON TABLES) ON TAGS module=customers, region=west,south TO user1 WITH GRANT OPTION
In questo caso,
user1
può concedereSELECT
tabelle ad altri principali utilizzando il TBAC metodo LF-, ma solo con l'espressione LF-tag completa.module=customers, region=west,south
-
-
Se a un principale vengono concesse le autorizzazioni su una risorsa sia con il metodo LF- che con il TBAC metodo della risorsa denominata, i permessi che il principale ha sulla risorsa sono l'unione dei permessi concessi da entrambi i metodi.
-
Lake Formation supporta la concessione
DESCRIBE
eASSOCIATE
l'eliminazione dei tag LF tra gli account e la concessione di autorizzazioni sulle risorse del Data Catalog tra gli account utilizzando il metodo LF-. TBAC In entrambi i casi, il principale è l'ID dell'account. AWSNota
Lake Formation supporta sovvenzioni tra account a organizzazioni e unità organizzative utilizzando il metodo LF-TBAC. Per utilizzare questa funzionalità, è necessario aggiornare le impostazioni della versione di Cross account alla versione 3.
Per ulteriori informazioni, consulta Condivisione dei dati tra account in Lake Formation.
-
Le risorse del Data Catalog create in un account possono essere etichettate solo utilizzando i tag LF creati nello stesso account. I tag LF creati in un account non possono essere associati a risorse condivise di un altro account.
-
L'utilizzo del controllo degli accessi basato su tag Lake Formation (LF-TBAC) per concedere l'accesso tra account alle risorse del Data Catalog richiede aggiunte alla politica delle risorse del Data Catalog per il tuo account. AWS Per ulteriori informazioni, consulta Prerequisiti.
-
Le chiavi LF-tag e i valori dei tag LF non possono superare i 50 caratteri di lunghezza.
-
Il numero massimo di tag LF che possono essere assegnati a una risorsa del Data Catalog è 50.
-
I seguenti limiti sono limiti flessibili:
-
Il numero massimo di tag LF che è possibile creare è 1000.
-
Il numero massimo di valori che possono essere definiti per un LF-tag è 1000.
-
-
Le chiavi e i valori dei tag vengono convertiti in lettere minuscole quando vengono memorizzati.
-
È possibile assegnare un solo valore per un tag LF a una particolare risorsa.
-
Se vengono concessi più LF-tag a un principale con un'unica concessione, il principale può accedere solo alle risorse del Data Catalog che contengono tutti i tag LF.
-
AWS Glue ETLi lavori richiedono l'accesso completo alla tabella. I processi falliranno se AWS Glue ETL il ruolo non ha accesso a tutte le colonne di una tabella. È possibile applicare i tag LF a livello di colonna, ma ciò può far sì che i AWS Glue ETL ruoli perdano l'accesso completo alla tabella e che i job falliscano.
-
Se la valutazione di un'espressione LF-Tag comporta l'accesso solo a un sottoinsieme di colonne della tabella, ma l'autorizzazione Lake Formation concessa in caso di corrispondenza è una delle autorizzazioni che richiedevano l'accesso completo alla colonna, vale a dire,, o
Alter
Drop
Insert
Delete
, allora nessuna di queste autorizzazioni viene concessa. Invece, viene concesso solo.Describe
Se l'autorizzazione concessa èAll
(Super
), allora soloSelect
eDescribe
vengono concesse. -
I wildcard non vengono utilizzati con i tag LF. Per assegnare un tag LF a tutte le colonne di una tabella, si assegna il tag LF alla tabella e tutte le colonne della tabella ereditano il tag LF. Per assegnare un tag LF a tutte le tabelle di un database, si assegna il tag LF al database e tutte le tabelle del database ereditano quel tag LF.