Autorizzazioni per i metadati

Lake Formation fornisce l'autorizzazione e il controllo degli accessi per il Data Catalog. Quando un ruolo IAM effettua una chiamata all'API Data Catalog da qualsiasi sistema, Data Catalog verifica le autorizzazioni relative ai dati dell'utente e restituisce solo i metadati a cui l'utente dispone delle autorizzazioni di accesso. Ad esempio, se un ruolo IAM ha accesso a una sola tabella all'interno di un database e un servizio o un utente che assume il ruolo esegue l'GetTablesoperazione, la risposta conterrà solo una tabella, indipendentemente dal numero di tabelle nel database.

Impostazioni predefinite: autorizzazioni IAMAllowedPrincipal di gruppo

AWS Lake Formation, per impostazione predefinita, imposta le autorizzazioni per tutti i database e le tabelle su un gruppo virtuale denominato. IAMAllowedPrincipal Questo gruppo è unico e visibile solo all'interno di Lake Formation. Il IAMAllowedPrincipal gruppo include tutti i responsabili IAM che hanno accesso alle risorse di Data Catalog tramite le politiche principali e le politiche AWS Glue delle risorse IAM. Se queste autorizzazioni esistono su un database o una tabella, a tutti i principali verrà concesso l'accesso al database o alla tabella.

Se desideri fornire autorizzazioni più granulari su un database o una tabella, rimuovi IAMAllowedPrincipal l'autorizzazione e Lake Formation applica tutte le altre politiche associate a quel database o tabella. Ad esempio, se esiste una politica che consente all'utente A di accedere al database A con DESCRIBE le autorizzazioni ed IAMAllowedPrincipal esiste con tutte le autorizzazioni, l'utente A continuerà a eseguire tutte le altre azioni, fino alla revoca dell'autorizzazione. IAMAllowedPrincipal

Inoltre, per impostazione predefinita, il IAMAllowedPrincipal gruppo dispone delle autorizzazioni su tutti i nuovi database e tabelle al momento della creazione. Esistono due configurazioni che controllano questo comportamento. La prima è a livello di account e regione, il che consente questa operazione per i database appena creati, mentre la seconda è a livello di database. Per modificare l'impostazione predefinita, vedere. Modifica il modello di autorizzazione predefinito o utilizza la modalità di accesso ibrida

Concessione di autorizzazioni

Gli amministratori di Data Lake possono concedere le autorizzazioni di Data Catalog ai responsabili in modo che i responsabili possano creare e gestire database e tabelle e possano accedere ai dati sottostanti.

Autorizzazioni a livello di database e tabella

Quando concedi le autorizzazioni all'interno di Lake Formation, il concedente deve specificare il principale a cui concedere le autorizzazioni, le risorse a cui concedere le autorizzazioni e le azioni che il beneficiario deve avere accesso a eseguire. Per la maggior parte delle risorse all'interno di Lake Formation, l'elenco principale e le risorse per concedere le autorizzazioni sono simili, ma le azioni che un beneficiario può eseguire variano in base al tipo di risorsa. Ad esempio, SELECT le autorizzazioni sono disponibili per le tabelle per leggere le tabelle, ma le SELECT autorizzazioni non sono consentite per i database. L'CREATE_TABLEautorizzazione è consentita per i database, ma non per le tabelle.

È possibile concedere AWS Lake Formation le autorizzazioni utilizzando due metodi:

Metodo di risorsa denominato: consente di scegliere i nomi di database e tabelle concedendo le autorizzazioni agli utenti.
Controllo degli accessi basato su tag LF (LF-TBAC): gli utenti creano tag LF, li associano alle risorse del catalogo dati, concedono l'Describeautorizzazione sui tag LF, associano le autorizzazioni a singoli utenti e scrivono politiche di autorizzazione LF utilizzando i tag LF a diversi utenti. Tali politiche basate su LF-Tag si applicano a tutte le risorse del Data Catalog associate a tali valori LF-Tag.

Nota
I tag LF sono esclusivi di Lake Formation. Sono visibili solo in Lake Formation e non devono essere confusi con i tag AWS delle risorse.

LF-TBAC è una funzionalità che consente agli utenti di raggruppare le risorse in categorie di tag LF definite dall'utente e di applicare le autorizzazioni a tali gruppi di risorse. Pertanto, è il modo migliore per scalare le autorizzazioni su un numero enorme di risorse del Data Catalog.

Per ulteriori informazioni, consulta Controllo degli accessi basato su tag Lake Formation.

Quando concedi le autorizzazioni a un responsabile, Lake Formation valuta le autorizzazioni come un'unione di tutte le politiche per quell'utente. Ad esempio, se si dispone di due criteri in una tabella per un principale in cui un criterio concede le autorizzazioni alle colonne col1, col2 e col3 tramite il metodo di risorsa denominato e l'altro criterio concede le autorizzazioni alla stessa tabella e principale a col5 e col6 tramite LF-tags, le autorizzazioni effettive saranno un'unione delle autorizzazioni che sarebbero col1, col2, col3, col5 e col6. Ciò include anche i filtri e le righe di dati.

Autorizzazioni per la localizzazione dei dati

Le autorizzazioni di localizzazione dei dati offrono agli utenti non amministrativi la possibilità di creare database e tabelle in posizioni Amazon S3 specifiche. Se un utente tenta di creare un database o una tabella in una posizione per cui non dispone delle autorizzazioni necessarie, l'operazione di creazione ha esito negativo. Questo serve a impedire agli utenti di creare tabelle in posizioni arbitrarie all'interno del data lake e consente di controllare dove tali utenti possono leggere e scrivere i dati. Esiste un'autorizzazione implicita durante la creazione di tabelle nella posizione Amazon S3 all'interno del database in cui viene creata. Per ulteriori informazioni, consulta Concessione delle autorizzazioni per la localizzazione dei dati.

Crea autorizzazioni per tabelle e database

Per impostazione predefinita, gli utenti non amministrativi non dispongono delle autorizzazioni per creare database o tabelle all'interno di un database. La creazione del database è controllata a livello di account utilizzando le impostazioni di Lake Formation in modo che solo i responsabili autorizzati possano creare database. Per ulteriori informazioni, consulta Creazione di un database. Per creare una tabella, un principale richiede l'CREATE_TABLEautorizzazione sul database in cui viene creata la tabella. Per ulteriori informazioni, consulta Creazione di tabelle.

Autorizzazioni implicite ed esplicite

Lake Formation fornisce autorizzazioni implicite a seconda della persona e delle azioni che la persona compie. Ad esempio, gli amministratori del data lake ottengono automaticamente le DESCRIBE autorizzazioni per tutte le risorse all'interno del Data Catalog, le autorizzazioni per la localizzazione dei dati per tutte le posizioni, le autorizzazioni per creare database e tabelle in tutte le posizioni e le autorizzazioni per qualsiasi risorsa. Grant Revoke I creatori di database ottengono automaticamente tutte le autorizzazioni di database sui database che creano e i creatori di tabelle ottengono tutte le autorizzazioni sulle tabelle che creano. Per ulteriori informazioni, consulta Autorizzazioni implicite di Lake Formation.

Autorizzazioni concedibili

Gli amministratori di Data Lake hanno la possibilità di delegare la gestione delle autorizzazioni a utenti non amministrativi fornendo autorizzazioni concedibili. Quando a un committente vengono concesse autorizzazioni su una risorsa e un insieme di autorizzazioni, tale principale ottiene la capacità di concedere le autorizzazioni ad altri responsabili su quella risorsa.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Come funziona

Gestione degli accessi allo storage