Gestione dei tag LF per il controllo dell'accesso ai metadati

Per utilizzare il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC) per proteggere le risorse del Data Catalog (database, tabelle e colonne), devi creare tag LF, assegnarli alle risorse e concedere le autorizzazioni LF-Tag ai principali.

Prima di poter assegnare i tag LF alle risorse del Data Catalog o concedere le autorizzazioni ai principali, è necessario definire i tag LF. Solo un amministratore del data lake o un responsabile con i permessi di creazione di LF-Tag può creare LF-Tag.

Creatori di tag LF

LF-Tag creator è un amministratore non amministratore che dispone delle autorizzazioni per creare e gestire i tag LF. Gli amministratori di Data Lake possono aggiungere creatori di tag LF utilizzando la console di Lake Formation o la CLI. I creatori di LF-Tag hanno i permessi impliciti di Lake Formation per aggiornare ed eliminare i tag LF, per assegnare i tag LF alle risorse e per concedere i permessi dei tag LF e i permessi per i valori dei tag LF ad altri principali.

Con i ruoli di creatore di LF-Tag, gli amministratori del data lake possono delegare attività di gestione dei tag come la creazione e l'aggiornamento di chiavi e valori dei tag a responsabili non amministratori. Gli amministratori di Data Lake possono anche concedere autorizzazioni valide ai creatori di LF-Tag. Create LF-Tag Quindi, il creatore del tag LF può concedere il permesso di creare tag LF ad altri mandanti.

È possibile concedere due tipi di autorizzazioni sui tag LF:

• Autorizzazioni LF-Tag -, e. Create LF-Tag Alter Drop Queste autorizzazioni sono necessarie per creare, aggiornare ed eliminare i tag LF.

  Gli amministratori di Data Lake e i creatori di LF-Tag dispongono implicitamente di queste autorizzazioni sugli LF-Tag che creano e possono concedere queste autorizzazioni esplicitamente ai responsabili della gestione dei tag nel data lake.

• Grant with LF-Tag expressionsAutorizzazioni Assign della Describe coppia chiave-valore LF-Tag -,, e. Queste autorizzazioni sono necessarie per assegnare i tag LF ai database, alle tabelle e alle colonne del Data Catalog e per concedere le autorizzazioni sulle risorse ai responsabili che utilizzano il controllo degli accessi basato su tag Lake Formation. I creatori di LF-Tag ricevono implicitamente queste autorizzazioni durante la creazione di LF-Tag.

Dopo aver ricevuto l'Create LF-Tagautorizzazione e aver creato con successo i tag LF, il creatore di LF-Tag può assegnare i tag LF alle risorse e concedere i permessi LF-Tag (Create LF-Tag,, e) ad altri titolari non amministrativi per gestire i tag nel data lake. Alter Drop Puoi gestire i tag LF utilizzando la console Lake Formation, l'API o AWS Command Line Interface ()AWS CLI.

Nota

Gli amministratori di Data Lake dispongono delle autorizzazioni implicite di Lake Formation per creare, aggiornare ed eliminare i tag LF, assegnare i tag LF alle risorse e concedere i permessi LF-Tag ai principali.

Per le migliori pratiche e considerazioni, consulta Buone pratiche e considerazioni per il controllo degli accessi basato su tag Lake Formation

Argomenti

• Aggiungere creatori di tag LF
• Creazione di tag LF
• Aggiornamento dei tag LF
• Eliminazione dei tag LF
• Elenco dei tag LF
• Assegnazione di tag LF alle risorse del Data Catalog
• Visualizzazione dei tag LF assegnati a una risorsa
• Visualizzazione delle risorse a cui è assegnato un LF-Tag
• Ciclo di vita di un tag LF
• Confronto tra il controllo degli accessi basato su tag Lake Formation e il controllo degli accessi basato sugli attributi IAM

Consulta anche

• Concessione, revoca ed elenco delle autorizzazioni per i valori LF-Tag

• Concessione delle autorizzazioni per il data lake utilizzando il metodo LF-TBAC

• Controllo degli accessi basato su tag Lake Formation

Ciclo di vita di un tag LF

1. Il creatore del tag LF Michael crea un tag LF. module=Customers

2. Michael concede l'LF-Tag all'Associateingegnere dei dati Eduardo. Concedere sovvenzioni implicitamente. Associate Describe

3. Michael concede Super Custs a Eduardo l'opzione grant, in modo che Eduardo possa assegnare dei tag LF al tavolo. Per ulteriori informazioni, consulta Assegnazione di tag LF alle risorse del Data Catalog.

4. Eduardo assegna il tag LF alla tabella. module=customers Custs

5. Michael concede la seguente concessione all'ingegnere dei dati Sandra (in pseudo-codice).

   GRANT (SELECT, INSERT ON TABLES) ON TAGS module=customers TO Sandra WITH GRANT OPTION

6. Sandra concede la seguente concessione all'analista di dati Maria.

   GRANT (SELECT ON TABLES) ON TAGS module=customers TO Maria

   Maria ora può eseguire interrogazioni sul tavolo. Custs

Consulta anche

• Controllo dell'accesso ai metadati

Confronto tra il controllo degli accessi basato su tag Lake Formation e il controllo degli accessi basato sugli attributi IAM

Il controllo dell'accesso basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. In AWS, questi attributi sono chiamati tag. Puoi allegare tag alle risorse IAM, incluse le entità IAM (utenti o ruoli) e alle AWS risorse. È possibile creare una singola policy ABAC o un piccolo insieme di policy per i principali IAM. Queste policy ABAC possono essere definite affinché autorizzino le operazioni quando il tag dell'entità corrisponde al tag della risorsa. La strategia ABAC è utile in ambienti soggetti a una rapida crescita e aiuta in situazioni in cui la gestione delle policy diventa impegnativa.

I team di sicurezza e governance del cloud utilizzano IAM per definire le policy di accesso e le autorizzazioni di sicurezza per tutte le risorse, inclusi i bucket Amazon S3, le istanze Amazon EC2 e tutte le risorse a cui puoi fare riferimento con un ARN. Le policy IAM definiscono autorizzazioni ampie (granulari) per le risorse del data lake, ad esempio per consentire o negare l'accesso a livello di bucket o prefisso Amazon S3 o a livello di database. Per ulteriori informazioni su IAM ABAC, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Ad esempio, è possibile creare tre ruoli associando a essi un tag con la chiave project-access e impostando il valore del tag del primo ruolo a Dev, del secondo a Marketing e del terzo a Support. Assegna tag con il valore appropriato alle risorse. È quindi possibile utilizzare una singola policy che consenta l'accesso quando il ruolo e la risorsa sono contrassegnati con lo stesso valore del tag project-access.

I team di governance dei dati utilizzano Lake Formation per definire autorizzazioni granulari per specifiche risorse di data lake. I tag LF sono assegnati alle risorse del Data Catalog (database, tabelle e colonne) e sono concessi ai principali. Un principale con tag LF che corrispondono ai tag LF di una risorsa può accedere a quella risorsa. Le autorizzazioni Lake Formation sono secondarie rispetto alle autorizzazioni IAM. Ad esempio, se le autorizzazioni IAM non consentono a un utente di accedere a un data lake, Lake Formation non concede l'accesso a nessuna risorsa all'interno di quel data lake a quell'utente, anche se il principale e la risorsa hanno tag LF corrispondenti.

Il controllo degli accessi basato su tag di Lake Formation (LF-TBAC) funziona con IAM ABAC per fornire livelli aggiuntivi di autorizzazioni per i dati e le risorse di Lake Formation.

• Le autorizzazioni TBAC di Lake Formation si adattano all'innovazione. Non è più necessario che un amministratore aggiorni le policy esistenti per consentire l'accesso a nuove risorse. Ad esempio, supponiamo di utilizzare una strategia IAM ABAC con il project-access tag per fornire l'accesso a database specifici all'interno di Lake Formation. Utilizzando LF-TBAC, il tag LF Project=SuperApp viene assegnato a tabelle o colonne specifiche e lo stesso tag LF viene concesso a uno sviluppatore per quel progetto. Tramite IAM, lo sviluppatore può accedere al database e le autorizzazioni LF-TBAC garantiscono allo sviluppatore un ulteriore accesso a tabelle o colonne specifiche all'interno delle tabelle. Se viene aggiunta una nuova tabella al progetto, l'amministratore di Lake Formation deve solo assegnare il tag alla nuova tabella affinché lo sviluppatore possa accedere alla tabella.

• Lake Formation TBAC richiede meno policy IAM. Poiché utilizzi le policy IAM per garantire un accesso di alto livello alle risorse di Lake Formation e Lake Formation TBAC per gestire un accesso più preciso ai dati, crei meno policy IAM.

• Utilizzando Lake Formation TBAC, i team possono cambiare e crescere rapidamente. Questo perché le autorizzazioni per le nuove risorse vengono concesse automaticamente in base agli attributi. Ad esempio, se un nuovo sviluppatore si unisce al progetto, è facile concedere a tale sviluppatore l'accesso associando il ruolo IAM all'utente e quindi assegnandogli i tag LF richiesti. Non è necessario modificare la policy IAM per supportare un nuovo progetto o creare nuovi LF-tag.

• Autorizzazioni più dettagliate sono possibili utilizzando Lake Formation TBAC. Le policy IAM garantiscono l'accesso alle risorse di primo livello, come i database o le tabelle del Data Catalog. Utilizzando Lake Formation TBAC, puoi concedere l'accesso a tabelle o colonne specifiche che contengono valori di dati specifici.

Nota

I tag IAM non sono gli stessi dei tag LF. Questi tag non sono intercambiabili. I tag LF vengono utilizzati per concedere i permessi di Lake Formation e i tag IAM vengono utilizzati per definire le politiche IAM.