管理 LF 標籤以進行中繼資料存取控制

若要使用以 Lake Formation 標籤為基礎的存取控制 (LF-TBAC) 方法來保護資料目錄資源 (資料庫、資料表和資料行)，您可以建立 LF 標籤、將它們指派給資源，並將 LF 標籤權限授與主體。

您必須先定義 LF 標籤，才能將 LF 標籤指派給資料目錄資源或授與權限給主體。只有資料湖管理員或具有 LF 標籤建立者權限的主參與者可以建立 LF 標籤。

LF 标签创建者

LF 標籤建立者是具有建立和管理 LF 標籤的權限的非系統管理員主體。資料湖管理員可以使用 Lake Formation 主控台或 CLI 新增 LF 標籤建立者。LF 標籤建立者具有隱含的 Lake Formation 權限，可更新和刪除 LF 標籤、將 LF 標籤指派給資源，以及授與 LF 標籤權限和 LF 標籤值權限給其他主體。

透過 LF 標籤建立者角色，資料湖管理員可以將標籤管理工作 (例如建立和更新標籤索引鍵和值) 委派給非管理員主參與者。資料湖管理員也可以授與 LF 標籤建立者可授與權Create LF-Tag限。然後，LF 標籤建立者可以將建立 LF 標籤的權限授與其他主體。

您可以在 LF 標籤上授予兩種類型的權限：

• LF 標籤權限-Create LF-Tag Alter、和。Drop建立、更新和刪除 LF 標籤需要這些權限。

  資料湖管理員和 LF 標籤建立者隱含地擁有他們建立的 LF 標籤的這些權限，並且可以明確地將這些權限授與主體，以管理資料湖中的標籤。

• LF-標記鍵值對權限-Assign、Describe和。Grant with LF-Tag expressions若要將 LF 標籤指派給資料目錄資料庫、資料表和欄，以及使用以 Lake Formation 標籤為基礎的存取控制將資源的權限授與主體，需要這些權限。LF 標籤創建者在創建 LF 標籤時隱式接收這些權限。

在收到Create LF-Tag權限並成功建立 LF 標籤之後，LF 標籤建立者可以將 LF 標籤指派給資源，並將 LF 標籤權限 (Create LF-Tag、、和) 授與其他非系統管理原則 AlterDrop，以管理資料湖中的標籤。您可以使用 Lake Formation 控制台，API 或AWS Command Line Interface（）AWS CLI來管理 LF 標籤。

注意

資料湖管理員具有隱含的 Lake Formation 權限，可建立、更新和刪除 LF 標籤、將 LF 標籤指派給資源，以及授與 LF 標籤權限給主體。

如需最佳做法和考量事項，請參閱 基於 Lake Formation 標籤的訪問控制最佳實踐和考量

主題

• 添加 LF 標籤創建者
• 創建 LF-標籤
• 更新 LF-標籤
• 刪除 LF 標籤
• 列出 LF-標籤
• 將 LF 標籤指定給資料目錄資源
• 檢視指定給資源的 LF 標籤
• 檢視 LF 標籤指定給的資源
• LF 標籤的生命週期
• 基於 Lake Formation 標籤的訪問控制與基於 IAM 屬性的訪問控制的比較

另請參閱

• 授予、撤銷和列出 LF 標籤值權限

• 使用 LF-TBAC 方法授與資料湖權限

• 基於 Lake Formation 標籤的訪問控制

LF 標籤的生命週期

1. LF 標籤的創造者邁克爾創建一個 LF 標籤。module=Customers

2. 邁克爾授予 Associate LF 標籤的數據工程師愛德華多。授予Associate隱含授予。Describe

3. 邁克爾授予在桌子Super上Custs給愛德華多與授予選項，使愛德華多可以分配 LF-標籤表。如需詳細資訊，請參閱將 LF 標籤指定給資料目錄資源。

4. 愛德華多 LF 標籤module=customers分配給表。Custs

5. 邁克爾向數據工程師桑德拉（偽代碼）提出以下贈款。

   GRANT (SELECT, INSERT ON TABLES) ON TAGS module=customers TO Sandra WITH GRANT OPTION

6. 桑德拉向數據分析師瑪麗亞提供以下資助。

   GRANT (SELECT ON TABLES) ON TAGS module=customers TO Maria

   瑪麗亞現在可以在Custs表上運行查詢。

另請參閱

• 元數據訪問控制

基於 Lake Formation 標籤的訪問控制與基於 IAM 屬性的訪問控制的比較

屬性型存取控制 (ABAC) 是一種授權策略，可根據屬性來定義許可。在 AWS 中，這些屬性稱為標籤。您可以將標籤連接到 IAM 資源，包括 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為您的 IAM 主體建立單一 ABAC 政策或是一組政策。這些 ABAC 政策可以設計成在主體的標籤與資源標籤相符時允許操作。ABAC 在成長快速的環境中相當有幫助，並能在政策管理變得繁瑣時提供協助。

雲端安全和治理團隊使用 IAM 為所有資源定義存取政策和安全許可，包括 Amazon S3 儲存貯體、Amazon EC2 執行個體，以及您可以透過 ARN 參考的任何資源。IAM 政策會定義資料湖資源的廣泛 (粗粒度) 許可，例如允許或拒絕 Amazon S3 儲存貯體、前綴層級或資料庫層級的存取。如需 IAM ABAC 的詳細資訊，請參閱 ABAC 的用途為何？AWS 在 IAM 使用者指南中。

例如，您可以使用 project-access 標籤鍵建立三個角色。將第一個角色的鍵值設為 Dev，第二個角色的鍵值設為 Marketing，並將第三個角色的鍵值設為 Support。將具有適當值的標籤指派給資源。然後，您可以使用單一政策，在角色和資源針對 project-access 使用相同值標記時允許存取。

資料控管團隊使用 Lake Formation 來定義特定資料湖資源的精細權限。LF 標籤會指派給資料目錄資源 (資料庫、表格和欄)，並授與主參與者。具有 LF 標籤的主參與者符合資源的 LF 標籤可以存取該資源。Lake Formation 許可是 IAM 許可的次要許可。例如，如果 IAM 許可不允許使用者存取資料湖，則 Lake Formation 不會將該資料湖中任何資源的存取權授予該使用者，即使主體和資源具有相符的 LF-標籤也一樣。

基於 Lake Formation 標籤的訪問控制（LF-TBAC）與 IAM ABAC 一起使用，為您的 Lake Formation 數據和資源提供額外的許可級別。

• Lake Formation TBAC 權限隨著創新而擴大規模。管理員不再需要更新現有政策來允許存取新的資源。例如，假設您將 IAM ABAC 策略與project-access標籤搭配使用，以提供對 Lake Formation 內特定資料庫的存取權。使用 LF-TBAC，LF 標籤Project=SuperApp被分配給特定的表或列，並且相同的 LF 標籤被授予該項目的開發人員。透過 IAM，開發人員可以存取資料庫，而 LF-TBAC 許可授予開發人員進一步存取資料表中特定資料表或資料行的權限。如果將新表格新增至專案，Lake Formation 管理員只需要將標籤指派給新資料表，即可讓開發人員存取該表格。

• Lake Formation TBAC 需要較少的 IAM 政策。由於您使用 IAM 政策授予對湖泊形成資源的高層級存取權限，以及 Lake Formation TBAC 來管理更精確的資料存取，因此您建立的 IAM 政策較少。

• 使用 Lake Formation TBAC，團隊可以快速改變和成長。這是因為新資源會自動根據屬性授與許可。例如，如果有新的開發人員加入專案，您可以輕鬆地將 IAM 角色與使用者建立關聯，然後將所需的 LF 標籤指派給使用者，藉此授予此開發人員存取權。您不需要變更 IAM 政策即可支援新專案或建立新的 LF 標籤。

• 使用 Lake Formation TBAC 可以獲得更好的粒度權限。IAM 政策授予對頂級資源的存取權，例如資料目錄資料庫或資料表。使用 Lake Formation TBAC，您可以授與包含特定資料值之特定資料表或資料行的存取權。

注意

IAM 標籤與 LF 標籤不一樣。這些標籤不可互換。LF 標籤用於授予 Lake Formation 許可，IAM 標籤用於定義 IAM 政策。