本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
入职和授予访问权限
本指南的数据湖参考架构可帮助您独立扩展数据生成者和数据使用者,此外还可以定义和建立一致的入职流程并向这些数据使用者授予访问权限。
以下各节描述了数据生成者和数据使用者的入职流程,以及如何在数据使用者账户中授予访问权限。本指南使用集中式目录和数据使用者之间的命名资源方法。LF-TBAC 方法的过程类似,但略有不同。我们建议您评估和配置这些方法,以满足贵组织的数据治理实践和政策。
有关这两种方法的更多信息,请参阅本指南的集中式目录部分。
入职数据制作者
下图显示了如何将新的数据创建器载入数据湖。
该图显示了以下入职流程:
-
数据创建者有选择地向集中式目录提供对其数据的访问权限(例如,亚马逊简单存储服务 (Amazon S3) Service 存储桶和)。 AWS KMS key向集中式目录 AWS Identity and Access Management (IAM) 委托人提供访问权限,以在中注册数据创建者的数据湖位置 AWS Lake Formation 以及用于维护数据创建者目录的 IAM 委托人。
-
使用集中式目录的 Lake Formation 注册数据创建者的数据湖位置(例如 S3 存储桶)。
-
在数据目录中为来自数据创建器的新数据创建数据库、表和表架构。 AWS Glue
为数据使用者提供入门服务
下图显示了如何将新的数据使用者载入您的数据湖。
该图显示了以下入职流程:
-
数据使用者请求批准查看数据创建者的数据,并指定其需要访问的数据。
-
数据生产者的数据管家会审查数据使用者的请求,并评估是否:
-
共享所请求数据库中的部分或全部表。当与数据使用者共享所有表不会影响数据安全时,我们建议进行数据库级共享,这有助于避免表级共享的管理开销。
-
在数据使用者的组织、OU 或账户级别进行共享。
-
-
经数据创建者批准后,所需的数据目录资源将在集中式目录中与数据使用者共享。
-
可以使用 Lake Formation 在数据使用者的账户中创建资源链接,然后指向集中式目录中的共享数据目录资源。
入职过程完成后,数据使用者的 Lake Formation 管理员可以从集中式目录和资源链接中查看数据库目录资源。在此阶段,数据使用者账户中的其他人无法访问数据生产者的数据。
在数据使用者账户中授予 Select 访问权限
下图显示了向数据使用者账户中的本地 IAM 委托人授予共享数据资源Select访问权限的过程。本地 IAM 委托人可以是个人用户的 IAM 角色,也可以是特定 AWS 服务使用的 IAM 角色。
注意
当共享的数据敏感度较低时,您可以将访问权限授予数据使用者本身,而无需获得数据创建者的批准。这是因为他们之间已经建立了信任和共享。
此图显示以下流程:
-
数据使用者账户中的个人 IAM 委托人请求数据使用者账户中的 IAM 委托人
Select访问资源链接。 -
数据生产者的数据管家会审查数据使用者的请求,并在满足所有要求时给予批准。
-
Select已授予访问权限,这允许 IAM 委托人使用请求的数据。
