Verwaltung von LF-Tags für die Zugriffskontrolle auf Metadaten - AWS Lake Formation
Lebenszyklus eines LF-TagsVergleich der tagbasierten Zugriffskontrolle auf Lake Formation mit der IAM attributbasierten Zugriffskontrolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung von LF-Tags für die Zugriffskontrolle auf Metadaten

Um die Tag-Based Access Control (LF-TBAC) Methode von Lake Formation zur Sicherung von Datenkatalogressourcen (Datenbanken, Tabellen und Spalten) zu verwenden, erstellen Sie LF-Tags, weisen sie Ressourcen zu und gewähren Prinzipalen LF-Tag-Berechtigungen.

Bevor Sie Datenkatalogressourcen LF-Tags zuweisen oder Prinzipalen Berechtigungen erteilen können, müssen Sie LF-Tags definieren. Nur ein Data Lake-Administrator oder ein Principal mit Berechtigungen zum Erstellen von LF-Tags kann LF-Tags erstellen.

Ersteller von LF-Tags

LF-Tag Creator ist kein Administrator und hat die Rechte, LF-Tags zu erstellen und zu verwalten. Data Lake-Administratoren können LF-Tag-Ersteller mithilfe der Lake Formation Formation-Konsole oder hinzufügen. CLI LF-Tag-Ersteller verfügen über implizite Lake Formation Formation-Berechtigungen zum Aktualisieren und Löschen von LF-Tags, zum Zuweisen von LF-Tags zu Ressourcen und zum Erteilen von LF-Tag-Berechtigungen und LF-Tag-Wertberechtigungen an andere Principals.

Mit LF-Tag-Erstellerrollen können Data Lake-Administratoren Tag-Management-Aufgaben wie das Erstellen und Aktualisieren von Tag-Schlüsseln und -Werten an Prinzipale delegieren, die keine Administratoren sind. Data Lake-Administratoren können LF-Tag-Erstellern auch erteilbare Berechtigungen gewähren. Create LF-Tag Anschließend kann der LF-Tag-Ersteller anderen Prinzipalen die Erlaubnis zur Erstellung von LF-Tags erteilen.

Sie können zwei Arten von Berechtigungen für LF-Tags gewähren:

  • LF-Tag-Berechtigungen -Create LF-Tag, und. Alter Drop Diese Berechtigungen sind erforderlich, um LF-Tags zu erstellen, zu aktualisieren und zu löschen.

    Data Lake-Administratoren und LF-Tag-Ersteller verfügen implizit über diese Berechtigungen für die von ihnen erstellten LF-Tags und können diese Berechtigungen explizit Prinzipalen zur Verwaltung von Tags im Data Lake gewähren.

  • Berechtigungen für LF-Tag-Schlüsselwertpaare -, und. Assign Describe Grant with LF-Tag expressions Diese Berechtigungen sind erforderlich, um LF-Tags den Datenbanken, Tabellen und Spalten von Data Catalog zuzuweisen und um Prinzipalen, die die Tag-basierte Zugriffskontrolle von Lake Formation verwenden, Berechtigungen für die Ressourcen zu gewähren. LF-Tag-Ersteller erhalten diese Berechtigungen implizit, wenn sie LF-Tags erstellen.

Nach Erhalt der Create LF-Tag Genehmigung und erfolgreicher Erstellung von LF-Tags kann der LF-Tag-Ersteller Ressourcen LF-Tags zuweisen und anderen Personen, die keine Administratoren sind, LF-Tag-Berechtigungen (Create LF-TagAlterDrop, und) zur Verwaltung von Tags im Data Lake gewähren. Sie können LF-Tags mit der Lake Formation Formation-KonsoleAPI, dem oder dem AWS Command Line Interface ()AWS CLI verwalten.

Anmerkung

Data Lake-Administratoren verfügen über implizite Lake Formation Formation-Berechtigungen, um LF-Tags zu erstellen, zu aktualisieren und zu löschen, Ressourcen LF-Tags zuzuweisen und Prinzipalen LF-Tag-Berechtigungen zu gewähren.

Bewährte Methoden und Überlegungen finden Sie unter Bewährte Methoden und Überlegungen zur Tag-basierten Zugriffskontrolle von Lake Formation

Themen
Weitere Informationen finden Sie auch unter

Lebenszyklus eines LF-Tags

  1. Der LF-Tag-Schöpfer Michael erstellt einen LF-Tag. module=Customers

  2. Michael vergibt den LF-Tag Associate an den Dateningenieur Eduardo. Implizite Gewährung von ZuschüssenAssociate. Describe

  3. Michael gewährt Eduardo mit der Grant-Option Super auf dem TischCusts, sodass Eduardo der Tabelle LF-Tags zuweisen kann. Weitere Informationen finden Sie unter Zuweisen von LF-Tags zu Datenkatalogressourcen.

  4. Eduardo weist der Tabelle den LF-Tag zu. module=customers Custs

  5. Michael gewährt der Dateningenieurin Sandra den folgenden Zuschuss (in Pseudocode).

    GRANT (SELECT, INSERT ON TABLES) ON TAGS module=customers TO Sandra WITH GRANT OPTION

  6. Sandra gewährt der Datenanalystin Maria den folgenden Zuschuss.

    GRANT (SELECT ON TABLES) ON TAGS module=customers TO Maria

    Maria kann jetzt Abfragen für die Custs Tabelle ausführen.

Weitere Informationen finden Sie auch unter

Vergleich der tagbasierten Zugriffskontrolle auf Lake Formation mit der IAM attributbasierten Zugriffskontrolle

Die attributebasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen auf der Grundlage von Attributen definiert werden. In werden AWS diese Attribute als Tags bezeichnet. Sie können Tags an IAM Ressourcen, einschließlich IAM Entitäten (Benutzer oder Rollen), und an AWS Ressourcen anhängen. Sie können eine einzelne ABAC Richtlinie oder einen kleinen Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Diese ABAC Richtlinien können so konzipiert werden, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. ABACist hilfreich in Umgebungen, die schnell wachsen, und hilft in Situationen, in denen die Richtlinienverwaltung umständlich wird.

Cloud-Sicherheits- und Governance-Teams definieren IAM damit Zugriffsrichtlinien und Sicherheitsberechtigungen für alle Ressourcen, einschließlich Amazon S3 S3-Buckets, EC2 Amazon-Instances und allen Ressourcen, auf die Sie mit einem ARN verweisen können. Die IAM Richtlinien definieren umfassende (grobe) Berechtigungen für Ihre Data Lake-Ressourcen, z. B. um den Zugriff auf Amazon S3 S3-Bucket-, Präfix- oder Datenbankebene zuzulassen oder zu verweigern. Weitere Informationen zu finden Sie IAM ABAC unter Wofür? ABAC AWS im IAMBenutzerhandbuch.

Sie können beispielsweise drei Rollen mit dem Tag-Schlüssel project-access erstellen. Legen Sie den Tag-Wert der ersten Rolle auf Dev, den zweiten auf Marketing und den dritten auf Support fest. Weisen Sie Ressourcen Tags mit dem entsprechenden Wert zu. Sie können dann eine einzelne Richtlinie verwenden, die den Zugriff erlaubt, wenn die Rolle und die Ressource mit demselben Wert für project-access markiert sind.

Data-Governance-Teams verwenden Lake Formation, um detaillierte Berechtigungen für bestimmte Data Lake-Ressourcen zu definieren. LF-Tags werden Datenkatalogressourcen (Datenbanken, Tabellen und Spalten) zugewiesen und an Principals vergeben. Ein Principal mit LF-Tags, die den LF-Tags einer Ressource entsprechen, kann auf diese Ressource zugreifen. Lake Formation Formation-Berechtigungen sind zweitrangig gegenüber IAM Berechtigungen. Wenn IAM Berechtigungen einem Benutzer beispielsweise keinen Zugriff auf einen Data Lake gewähren, gewährt Lake Formation diesem Benutzer keinen Zugriff auf Ressourcen innerhalb dieses Data Lakes, selbst wenn der Principal und die Ressource übereinstimmende LF-Tags haben.

Die tagbasierte Zugriffskontrolle (LF-TBAC) von Lake Formation bietet zusätzliche Berechtigungsebenen für Ihre Lake Formation Formation-Daten und -Ressourcen. IAM ABAC

  • Die TBAC Genehmigungen von Lake Formation wachsen mit Innovation. Es ist nicht mehr notwendig, dass ein Administrator vorhandene Richtlinien aktualisiert, um den Zugriff auf neue Ressourcen zu erlauben. Nehmen wir beispielsweise an, dass Sie eine IAM ABAC Strategie mit dem project-access Tag verwenden, um Zugriff auf bestimmte Datenbanken in Lake Formation zu gewähren. Bei Verwendung von LF TBAC - Project=SuperApp wird das LF-Tag bestimmten Tabellen oder Spalten zugewiesen, und dasselbe LF-Tag wird einem Entwickler für dieses Projekt gewährt. Dadurch IAM kann der Entwickler auf die Datenbank zugreifen, und TBAC LF-Berechtigungen gewähren dem Entwickler weiteren Zugriff auf bestimmte Tabellen oder Spalten innerhalb von Tabellen. Wenn dem Projekt eine neue Tabelle hinzugefügt wird, muss der Lake Formation-Administrator der neuen Tabelle nur das Tag zuweisen, damit der Entwickler Zugriff auf die Tabelle erhält.

  • Lake Formation TBAC erfordert weniger IAM Richtlinien. Da Sie IAM Richtlinien verwenden, um allgemeinen Zugriff auf Lake Formation-Ressourcen und Lake Formation TBAC für die Verwaltung eines genaueren Datenzugriffs zu gewähren, erstellen Sie weniger IAM Richtlinien.

  • Mit Lake TBAC Formation können sich Teams schnell verändern und wachsen. Der Grund hierfür ist, dass Berechtigungen für neue Ressourcen automatisch basierend auf Attributen erteilt werden. Wenn beispielsweise ein neuer Entwickler dem Projekt beitritt, ist es einfach, diesem Entwickler Zugriff zu gewähren, indem Sie die IAM Rolle dem Benutzer zuordnen und ihm dann die erforderlichen LF-Tags zuweisen. Sie müssen die IAM Richtlinie nicht ändern, um ein neues Projekt zu unterstützen oder neue LF-Tags zu erstellen.

  • Mit Lake Formation sind detailliertere Genehmigungen möglich. TBAC IAMRichtlinien gewähren Zugriff auf Ressourcen der obersten Ebene, wie z. B. Datenkatalogdatenbanken oder Tabellen. Mit Lake Formation TBAC können Sie Zugriff auf bestimmte Tabellen oder Spalten gewähren, die bestimmte Datenwerte enthalten.

Anmerkung

IAMTags sind nicht dasselbe wie LF-Tags. Diese Tags sind nicht austauschbar. LF-Tags werden verwendet, um Lake Formation Formation-Berechtigungen zu gewähren, und IAM Tags werden verwendet, um Richtlinien zu definierenIAM.