Considerações e práticas recomendadas de controle de acesso com base em tags do Lake Formation - AWS Lake Formation

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Considerações e práticas recomendadas de controle de acesso com base em tags do Lake Formation

É possível criar, manter e atribuir tags do LF para controlar o acesso a bancos de dados, tabelas e colunas do catálogo de dados.

Pense nas seguintes práticas recomendadas ao usar o controle de acesso com base em tags do Lake Formation:

  • Todas as tags do LF devem ser predefinidas antes de poderem ser atribuídas aos recursos do catálogo de dados ou concedidas às entidades principais.

    O administrador do data lake pode delegar tarefas de gerenciamento de tags gerando criadores de tags do LF com as permissões necessárias do IAM. Os engenheiros e analistas de dados decidem sobre as características e os relacionamentos das tags do LF. Os criadores da tags do LF então criam e mantêm as tags do LF no Lake Formation.

  • Você pode atribuir várias tags do LF aos recursos do catálogo de dados. Somente um valor para uma chave específica pode ser atribuído a um recurso específico.

    Por exemplo, você pode atribuir module=Orders, region=West e division=Consumer e assim por diante a um banco de dados, uma tabela ou uma coluna. Você não pode atribuir module=Orders,Customers.

  • Você não pode atribuir tags do LF aos recursos ao criá-los. Você só pode adicionar tags do LF aos recursos existentes.

  • Você pode conceder expressões de tag do LF, não apenas tags do LF únicas, a uma entidade principal.

    Uma expressão de tag do LF se parece com a seguinte (em pseudocódigo).

    module=sales AND division=(consumer OR commercial)

    Uma entidade principal que recebe essa expressão de tag do LF pode acessar somente os recursos do catálogo de dados (bancos de dados, tabelas e colunas) que receberam module=sales e division=consumer ou division=commercial. Se você quiser que a entidade principal possa acessar recursos que tenham module=sales ou division=commercial, não inclua ambos na mesma concessão. Faça duas concessões, uma para module=sales e outra para division=commercial.

    A expressão de tag do LF mais simples consiste em apenas uma tag do LF, como module=sales.

  • Uma entidade principal que recebe permissões em uma tag do LF com vários valores pode acessar os recursos do catálogo de dados com qualquer um deles. Por exemplo, se um usuário receber uma tag do LF com chave = module e valores = orders,customers, o usuário terá acesso aos recursos atribuídos module=orders ou module=customers.

  • Você precisa ter permissão Grant with LF-Tag expressions para conceder permissões de dados nos recursos do catálogo de dados usando o método LF-TBAC. O administrador do data lake e o criador da tag do LF recebem implicitamente essa permissão. Uma entidade principal que tenha a permissão Grant with LFTag expressions pode conceder permissões de dados sobre os recursos usando:

    • o método de recurso nomeado

    • o método LF-TBAC, mas usando apenas a mesma expressão de tag do LF

      Por exemplo, suponha que o administrador do data lake faça a seguinte concessão (em pseudocódigo).

      GRANT (SELECT ON TABLES) ON TAGS module=customers, region=west,south TO user1 WITH GRANT OPTION

      Nesse caso, user1 pode conceder SELECT em tabelas a outras entidades principais usando o método LF-TBAC, mas somente com a expressão de tag do LF completa module=customers, region=west,south.

  • Se uma entidade principal receber permissões em um recurso com o método LF-TBAC e o método de recurso nomeado, as permissões que a entidade principal tem sobre o recurso são a união das permissões concedidas pelos dois métodos.

  • O Lake Formation oferece suporte à concessão de DESCRIBE e ASSOCIATE em tags do LF em todas as contas e à concessão de permissões nos recursos do catálogo de dados em todas as contas usando o método LF-TBAC. Em ambos os casos, o principal é o ID AWS da conta.

    nota

    O Lake Formation aceita concessões entre contas para organizações e unidades organizacionais usando o método LF-TBAC. Para usar esse recurso, você precisa atualizar as Configurações de versão entre contas para a Versão 3.

    Para ter mais informações, consulte Compartilhamento de dados entre contas no Lake Formation.

  • Os recursos do catálogo de dados criados em uma conta só podem ser marcados usando tags do LF criadas na mesma conta. As tags do LF criadas em uma conta não podem ser associadas a recursos compartilhados de outra conta.

  • Usar o controle de acesso baseado em tags do Lake Formation (LF-TBAC) para conceder acesso entre contas aos recursos do Catálogo de Dados requer acréscimos à política de recursos do Catálogo de Dados para sua conta. AWS Para ter mais informações, consulte Pré-requisitos.

  • As chaves da tag do LF e os valores da tag do LF não podem exceder 50 caracteres de comprimento.

  • O número máximo de tags do LF que podem ser atribuídas a um recurso do catálogo de dados é 50.

  • Os seguintes limites são limites flexíveis:

    • O número máximo de tags do LF que podem ser criados é 1000.

    • O número máximo de valores que podem ser definidos para uma tag do LF é 1000.

  • As chaves e valores das tags são convertidos em letras minúsculas quando são armazenados.

  • Somente um valor para uma tag do LF pode ser atribuído a um recurso específico.

  • Se várias tags do LF forem concedidas a uma entidade principal com uma única concessão, a entidade principal poderá acessar somente os recursos do catálogo de dados que tenham todas as tags do LF.

  • Os trabalhos de ETL do AWS Glue exigem acesso total à tabela. Os trabalhos falharão se a função ETL do AWS Glue não tiver acesso a todas as colunas em uma tabela. É possível aplicar tags LF em nível de coluna, mas isso pode fazer com que as funções de AWS Glue ETL percam o acesso total à tabela e façam com que os trabalhos falhem.

  • Se uma avaliação da expressão de tag do LF resultar em acesso somente a um subconjunto de colunas da tabela, mas a permissão Lake Formation concedida quando há uma correspondência for uma das permissões que exigiram acesso total à coluna, ou seja, Alter, Drop, Insert ou Delete, nenhuma dessas permissões será concedida. Em vez disso, somente Describe é concedido. Se a permissão concedida for All (Super), somente Select e Describe serão concedidas.

  • Os curingas não são usados com tags LF. Para atribuir uma tag do LF a todas as colunas de uma tabela, atribua a tag do LF à tabela e todas as colunas na tabela herdam a tag do LF. Para atribuir uma tag do LF a todas as tabelas em um banco de dados, atribua a tag do LF ao banco de dados, e todas as tabelas no banco de dados herdam essa tag do LF.