細粒度存取控制的方法

透過資料湖，目標是對資料進行精細的存取控制。在 Lake Formation 中，這意味著對資料目錄資源和 Amazon S3 位置進行精細的存取控制。您可以使用下列其中一種方法來實現精細的存取控制。

方法 Lake Formation 權限 IAM 許可說明

方法 1

開啟

細粒度

方法	Lake Formation 權限	IAM 許可	說明
方法 1	開啟	細粒度	這是向後相容性的預設方法AWS Glue。 Open 表示會將特殊權限`Super`授與給群組`IAMAllowedPrincipals`，群組會自動建立，並包含任何 IAM 政策允許存取您資料目錄資源的 IAM 使用者和角色，而且該`Super`權限可讓主體在授與該群組的資料庫或表格上執行每個受支援的 Lake Formation 作業。`IAMAllowedPrincipals`這有效地導致對資料目錄資源和 Amazon S3 位置的存取僅由 IAM 政策控制。如需詳細資訊，請參閱變更資料湖的預設設定及將AWS Glue資料權限升級至 AWS Lake Formation 模型。精細程度表示 IAM 政策可控制對資料目錄資源和個別 Amazon S3 儲存貯體的所有存取。在 Lake Formation 主控台上，此方法會顯示為僅限 IAM 存取控制。
方法 2	細粒度	粗粒	這是建議使用的方法。細微的存取意味著將有限的 Lake Formation 許可授予資料目錄資源、Amazon S3 位置以及這些位置中的基礎資料的個別主體。粗粒度意味著對個別操作和 Amazon S3 位置的存取權有更廣泛的許可。例如，粗略的 IAM 政策可能包含`"glue:"`或`"glue:Create"`而非保留 Lake Formation 權限`"glue:CreateTables"`，以控制主體是否可以建立目錄物件。這也意味著授予主體對他們執行工作所需的 API 的訪問權限，但鎖定其他 API 和資源。例如，您可以建立 IAM 政策，讓主體建立 Data Catalog 資源並建立和執行工作流程，但不允許建立AWS Glue連線或使用者定義函數。請參閱本節稍後的範例。

這是向後相容性的預設方法AWS Glue。

Open 表示會將特殊權限Super授與給群組IAMAllowedPrincipals，群組會自動建立，並包含任何 IAM 政策允許存取您資料目錄資源的 IAM 使用者和角色，而且該Super權限可讓主體在授與該群組的資料庫或表格上執行每個受支援的 Lake Formation 作業。IAMAllowedPrincipals這有效地導致對資料目錄資源和 Amazon S3 位置的存取僅由 IAM 政策控制。如需詳細資訊，請參閱變更資料湖的預設設定及將AWS Glue資料權限升級至 AWS Lake Formation 模型。
精細程度表示 IAM 政策可控制對資料目錄資源和個別 Amazon S3 儲存貯體的所有存取。

在 Lake Formation 主控台上，此方法會顯示為僅限 IAM 存取控制。

方法 2

細粒度

粗粒

這是建議使用的方法。

細微的存取意味著將有限的 Lake Formation 許可授予資料目錄資源、Amazon S3 位置以及這些位置中的基礎資料的個別主體。
粗粒度意味著對個別操作和 Amazon S3 位置的存取權有更廣泛的許可。例如，粗略的 IAM 政策可能包含"glue:*"或"glue:Create*"而非保留 Lake Formation 權限"glue:CreateTables"，以控制主體是否可以建立目錄物件。這也意味著授予主體對他們執行工作所需的 API 的訪問權限，但鎖定其他 API 和資源。例如，您可以建立 IAM 政策，讓主體建立 Data Catalog 資源並建立和執行工作流程，但不允許建立AWS Glue連線或使用者定義函數。請參閱本節稍後的範例。

重要

請注意以下事項：

根據預設，Lake Formation 會啟用「僅使用 IAM 存取控制」設定，以便與現有「AWS Glue資料目錄」行為相容。我們建議您在轉換為使用 Lake Formation 權限後停用這些設定。如需詳細資訊，請參閱變更資料湖的預設設定。
資料湖管理員和資料庫建立者具有您必須瞭解的隱含 Lake Formation 權限。如需詳細資訊，請參閱隱含 Lake Formation 權限。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

Lake Formation 許可權概述

元數據訪問控制