Lake Formation 許可權概述

中有兩種主要的權限類型 AWS Lake Formation：

• 中繼資料存取 — 資料目錄資源的權限 (資料目錄權限)。

  這些權限可讓主參與者建立、讀取、更新及刪除「資料目錄」中的中繼資料資料庫和表格。

• 基礎資料存取 — Amazon Simple Storage Service (Amazon S3) 中位置的許可 (資料存取許可和資料位置許可)。

  • 資料湖許可可讓主體讀取和寫入資料至基礎 Amazon S3 位置 — 資料目錄資源所指向的資料。

  • 資料位置許可可讓主體建立和更改指向特定 Amazon S3 位置的中繼資料庫和表格。

對於這兩個區域，Lake Formation 使用 Lake Formation 許可和 AWS Identity and Access Management （IAM）許可的組合。IAM 許可模型包含 IAM 政策。Lake Formation 權限模型被實現為 DBMS 風格的授權/撤銷命令，例如。Grant SELECT on tableName to userName

當主體提出存取資料目錄資源或基礎資料的請求時，要求成功，必須通過 IAM 和 Lake Formation 的權限檢查。

Lake Formation 許可控制對資料目錄資源、Amazon S3 位置和這些位置基礎資料的存取。IAM 許可控制對 Lake Formation 以及 AWS Glue API 和資源的存取。因此，雖然您可能具有在資料型錄 (CREATE_TABLE) 中建立中繼資料表的 Lake Formation 權限的 Lake Formation 權限，但是如果您沒有 glue:CreateTable API 的 IAM 權限，您的作業就會失敗。（為什麼要獲glue:得許可？ 因為 Lake Formation 使用AWS Glue數據目錄。）

注意

Lake Formation 許可權僅適用於其被授予的地區。

AWS Lake Formation 需要授權每個主參與者 (使用者或角色) 對 Lake Formation 執行動作 — 管理的資源。主參與者會由資料湖管理員或其他主參與者授與必要的授權，並具有授與 Lake Formation 權限的權限。

當您將 Lake Formation 權限授與主體時，您可以選擇性地授與將該權限傳遞給另一位主體的能力。

您可以使用湖泊形成控制台的 Lake Formation API、 AWS Command Line Interface （AWS CLI）或「資料」權限和「資料位置」頁面來授予和撤銷 Lake Formation 權限。