Gestione di un data lake utilizzando il controllo degli accessi basato su tag Lake Formation - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione di un data lake utilizzando il controllo degli accessi basato su tag Lake Formation

Migliaia di clienti stanno costruendo data lake su scala petabyte. AWS Molti di questi clienti lo utilizzano AWS Lake Formation per creare e condividere facilmente i propri data lake all'interno dell'organizzazione. Con l'aumento del numero di tabelle e utenti, i data steward e gli amministratori sono alla ricerca di modi per gestire le autorizzazioni sui data lake in modo semplice e su larga scala. Il controllo degli accessi basato su Lake Formation Tag (LF-TBAC) risolve questo problema consentendo ai data steward di creare tag LF (in base alla classificazione e all'ontologia dei dati) che possono quindi essere collegati alle risorse.

LF-TBAC è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. In Lake Formation, questi attributi sono chiamati LF-tag. Puoi allegare i tag LF alle risorse del Data Catalog e ai principali di Lake Formation. Gli amministratori del Data Lake possono assegnare e revocare le autorizzazioni sulle risorse di Lake Formation utilizzando i tag LF. Per ulteriori informazioni su see,. Controllo degli accessi basato su tag Lake Formation

Questo tutorial dimostra come creare una politica di controllo degli accessi basata su tag Lake Formation utilizzando un set di dati AWS pubblico. Inoltre, mostra come interrogare tabelle, database e colonne a cui sono associate politiche di accesso basate su tag Lake Formation.

È possibile utilizzare LF-TBAC per i seguenti casi d'uso:

  • Hai un gran numero di tabelle e principali a cui l'amministratore del data lake deve concedere l'accesso

  • Vuoi classificare i tuoi dati in base a un'ontologia e concedere le autorizzazioni in base alla classificazione

  • L'amministratore del data lake desidera assegnare le autorizzazioni in modo dinamico, in modo vagamente accoppiato

Di seguito sono riportati i passaggi di alto livello per la configurazione delle autorizzazioni utilizzando LF-TBAC:

  1. Il data steward definisce l'ontologia dei tag con due tag LF: e. Confidential Sensitive Data with Confidential=True ha controlli di accesso più rigorosi. I dati Sensitive=True richiedono un'analisi specifica da parte dell'analista.

  2. Il data steward assegna diversi livelli di autorizzazione al data engineer per creare tabelle con tag LF diversi.

  3. L'ingegnere dei dati crea due database: e. tag_database col_tag_database Tutte le tabelle tag_database sono configurate conConfidential=True. Tutte le tabelle di col_tag_database sono configurate conConfidential=False. Alcune colonne della tabella col_tag_database sono contrassegnate con tag Sensitive=True per esigenze di analisi specifiche.

  4. L'ingegnere dei dati concede il permesso di lettura all'analista per le tabelle con condizioni di espressione specifiche Confidential=True eConfidential=False,. Sensitive=True

  5. Con questa configurazione, l'analista di dati può concentrarsi sull'esecuzione dell'analisi con i dati giusti.