加入和授予存取權 - AWS 方案指引
加入資料生產者加入資料消費者在資料取用者帳戶中授予選取存取權

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

加入和授予存取權

本指南的資料湖參考架構可協助您獨立擴展資料生產者和資料消費者,除了定義和建立一致的流程,以加入和授予這些資料消費者存取權。

下列各節說明資料生產者和資料消費者的加入程序,以及如何在資料消費者帳戶中授予存取權。本指南在集中式目錄和資料取用者之間使用具名的資源方法LF-TBAC 方法的程序類似但略有不同。我們建議您評估和設定這些方法,以符合組織的資料控管實務和政策。

如需這兩種方法的詳細資訊,請參閱本指南的 集中型目錄一節。

加入資料生產者

下圖顯示如何將新的資料生產者加入您的資料湖。

將新資料生產者加入資料湖的程序。

圖表顯示下列加入程序:

  1. 資料生產者會選擇性地提供集中式目錄存取其資料的權限 (例如,Amazon Simple Storage Service (Amazon S3) 儲存貯體和) AWS KMS key。存取會提供給集中式目錄的 AWS Identity and Access Management (IAM) 主體,以註冊資料生產者的資料湖位置, AWS Lake Formation 以及用於維護資料生產者的目錄的 IAM 主體。

  2. 註冊使用集中型目錄 Lake Formation 的資料生產者資料湖位置 (例如 S3 儲存貯體)。

  3. 從 Data AWS Glue Catalog 中的資料生產者為新資料建立資料庫、資料表和資料表結構描述。

加入資料消費者

下圖顯示如何將新的資料取用者加入您的資料湖。

將新的資料取用者加入您的資料湖的程序。

圖表顯示下列加入程序:

  1. 資料消費者請求核准以檢視資料生產者的資料,並指定其需要存取的資料。

  2. 資料生產者的資料管理員會檢閱來自資料消費者的請求,並評估是否:

    • 在請求的資料庫中共用部分或全部資料表。如果與資料取用者共用所有資料表沒有資料安全影響,我們建議進行資料庫層級共用,這有助於避免資料表層級共用的管理負擔。

    • 在資料消費者的組織、OU 或帳戶層級共用。

  3. 當資料生產者核准時,所需的 Data Catalog 資源會與集中式目錄中的資料取用者共用。

  4. 您可以使用 Lake Formation 在資料消費者的帳戶中建立資源連結,然後指向集中式目錄中的共用 Data Catalog 資源。

加入程序完成後,資料消費者的 Lake Formation 管理員可以從集中式目錄和資源連結中查看資料庫目錄資源。在此階段,資料消費者帳戶中的其他人都無法存取資料生產者的資料。

在資料取用者帳戶中授予選取存取權

下圖顯示授予資料消費者帳戶中具有本機 IAM 主體的共用資料資源Select存取權的程序。本機 IAM 主體可以是個別使用者的 IAM 角色,或特定 AWS 服務使用的 IAM 角色。

注意

當共用的資料敏感度較低時,您可以將存取權授予資料消費者本身,而無需資料生產者核准。這是因為信任和共享已在它們之間建立。

在資料消費者帳戶中授予選取存取權的程序。

圖表顯示下列程序:

  1. 資料消費者帳戶中的個別 IAM 主體請求存取來自資料消費者帳戶中 Select IAM 主體的資源連結。

  2. 資料生產者的資料管理員會檢閱來自資料消費者的請求,並在符合所有要求時提供核准。

  3. Select 會授予 存取,這可讓 IAM 主體取用請求的資料。