本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
与 Lake Formation 权限一样,您通常有两种类型的场景可以使用混合访问模式来管理数据访问权限:在一个场景中提供对委托人的访问权限, AWS 账户 以及提供对外部 AWS 账户 或委托人的访问权限。
本节提供有关在以下场景下设置混合访问模式的说明:
在一个混合访问模式下管理权限 AWS 账户
将 AWS Glue 资源转换为混合资源 — 您目前正在使用 Amazon S3 的 IAM 权限为账户中的所有委托人提供数据库中表的访问权限, AWS Glue 但希望采用 Lake Formation 来逐步管理权限。
将 Lake Formation 资源转换为混合资源 – 您目前正使用 Lake Formation 管理您账户中的所有主体对数据库中表的访问,但只想使用 Lake Formation 管理特定主体的访问。您想通过对同一数据库和表使用 IAM 权限 AWS Glue 和 Amazon S3 来提供对新委托人的访问权限。
在混合访问模式下管理跨 AWS 账户的权限
使用混合访问模式共享 AWS Glue 资源 – 您目前未在使用 Lake Formation 管理对表的权限,但想要应用 Lake Formation 权限为其它账户中的主体提供访问权限。
使用混合访问模式共享 Lake Formation 资源— 您正在使用 Lake Formation 管理表的访问权限,但希望通过对同一数据库 AWS Glue 和表使用 Amazon S3 的 IAM 权限为其他账户中的委托人提供访问权限。
设置混合访问模式 – 主要步骤
-
通过选择混合访问模式,在 Lake Formation 中注册 Amazon S3 数据位置。
-
主体必须拥有对数据湖位置的
DATA_LOCATION权限才能创建指向该位置的数据目录表或数据库。 -
将跨账户版本设置设置为版本 4。
向特定 IAM 用户或角色授予对数据库和表的精细权限。同时,确保为
IAMAllowedPrincipals组设置对数据库以及数据库中所有或部分表的Super或All权限。-
选择主体和资源。账户中的其他委托人可以使用针对和 Amazon S3 操作的 IAM 权限策略继续访问数据库 AWS Glue 和表。
-
(可选)为选择使用 Lake Formation 权限的主体清除适用于 Amazon S3 的 IAM 权限策略。
