Berechtigungen für Metadaten - AWS Lake Formation
Gewähren von Berechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen für Metadaten

Lake Formation bietet Autorisierung und Zugriffskontrolle für den Datenkatalog. Wenn eine IAM Rolle von einem beliebigen System aus einen Datenkatalog API aufruft, überprüft der Datenkatalog die Datenberechtigungen des Benutzers und gibt nur die Metadaten zurück, für deren Zugriff der Benutzer berechtigt ist. Wenn eine IAM Rolle beispielsweise Zugriff auf nur eine Tabelle innerhalb einer Datenbank hat und ein Dienst oder ein Benutzer, der die Rolle annimmt, den GetTables Vorgang ausführt, enthält die Antwort nur die eine Tabelle, unabhängig von der Anzahl der Tabellen in der Datenbank.

Standardeinstellungen — IAMAllowedPrincipal Gruppenberechtigungen

AWS Lake Formation, legt standardmäßig die Berechtigungen für alle Datenbanken und Tabellen einer virtuellen Gruppe mit dem Namen festIAMAllowedPrincipal. Diese Gruppe ist einzigartig und nur innerhalb von Lake Formation sichtbar. Die IAMAllowedPrincipal Gruppe umfasst alle IAM Principals, die über IAM Principal- und AWS Glue Ressourcenrichtlinien Zugriff auf Data Catalog-Ressourcen haben. Wenn diese Berechtigungen für eine Datenbank oder Tabelle vorhanden sind, erhalten alle Prinzipale Zugriff auf die Datenbank oder Tabelle.

Wenn Sie detailliertere Berechtigungen für eine Datenbank oder Tabelle bereitstellen möchten, entfernen Sie die IAMAllowedPrincipal Berechtigung und Lake Formation setzt alle anderen Richtlinien durch, die mit dieser Datenbank oder Tabelle verknüpft sind. Wenn es beispielsweise eine Richtlinie gibt, die es Benutzer A erlaubt, mit DESCRIBE Berechtigungen auf Datenbank A zuzugreifen, und diese mit allen Berechtigungen IAMAllowedPrincipal vorhanden ist, führt Benutzer A weiterhin alle anderen Aktionen aus, bis die IAMAllowedPrincipal Berechtigung widerrufen wird.

Darüber hinaus verfügt die IAMAllowedPrincipal Gruppe standardmäßig über Berechtigungen für alle neuen Datenbanken und Tabellen, wenn diese erstellt werden. Es gibt zwei Konfigurationen, die dieses Verhalten steuern. Die erste ist auf Konto- und Regionsebene, sodass dies für neu erstellte Datenbanken möglich ist, und die zweite auf Datenbankebene. Informationen zum Ändern der Standardeinstellung finden Sie unter. Ändern Sie das Standardberechtigungsmodell oder verwenden Sie den hybriden Zugriffsmodus

Gewähren von Berechtigungen

Data Lake-Administratoren können Prinzipalen Datenkatalogberechtigungen gewähren, sodass die Prinzipale Datenbanken und Tabellen erstellen und verwalten und auf die zugrunde liegenden Daten zugreifen können.

Berechtigungen auf Datenbank- und Tabellenebene

Wenn Sie innerhalb von Lake Formation Berechtigungen gewähren, muss der Gewährer den Principal angeben, für den Berechtigungen erteilt werden sollen, für welche Ressourcen Berechtigungen erteilt werden sollen und für welche Aktionen der Empfänger Zugriff haben soll. Bei den meisten Ressourcen innerhalb von Lake Formation sind die Hauptliste und die Ressourcen für die Erteilung von Berechtigungen ähnlich, aber die Aktionen, die ein Empfänger ausführen kann, unterscheiden sich je nach Ressourcentyp. Beispielsweise sind für Tabellen SELECT Berechtigungen zum Lesen der Tabellen verfügbar, für Datenbanken jedoch keine SELECT Berechtigungen. Die CREATE_TABLE Berechtigung ist für Datenbanken zulässig, nicht jedoch für Tabellen.

Sie können AWS Lake Formation Berechtigungen auf zwei Arten gewähren:

  • Methode für benannte Ressourcen — Ermöglicht es Ihnen, Datenbank- und Tabellennamen auszuwählen und Benutzern gleichzeitig Berechtigungen zu gewähren.

  • LF-Tag-basierte Zugriffskontrolle (LF-TBAC) — Benutzer erstellen LF-Tags, ordnen sie Datenkatalogressourcen zu, gewähren Berechtigungen für LF-Tags, ordnen einzelnen Benutzern Berechtigungen zu und schreiben Describe LF-Berechtigungsrichtlinien mithilfe von LF-Tags für verschiedene Benutzer. Solche auf LF-Tags basierenden Richtlinien gelten für alle Datenkatalogressourcen, die mit diesen LF-Tag-Werten verknüpft sind.

    Anmerkung

    LF-Tags gibt es nur bei Lake Formation. Sie sind nur in Lake Formation sichtbar und sollten nicht mit AWS Resource-Tags verwechselt werden.

    LF- TBAC ist eine Funktion, mit der Benutzer Ressourcen in benutzerdefinierte Kategorien von LF-Tags gruppieren und Berechtigungen auf diese Ressourcengruppen anwenden können. Daher ist dies der beste Weg, um Berechtigungen für eine große Anzahl von Datenkatalogressourcen zu skalieren.

    Weitere Informationen finden Sie unter Tag-basierte Zugangskontrolle von Lake Formation.

Wenn Sie einem Prinzipal Berechtigungen gewähren, bewertet Lake Formation die Berechtigungen als Zusammenfassung aller Richtlinien für diesen Benutzer. Wenn Sie beispielsweise zwei Richtlinien für eine Tabelle für einen Prinzipal haben, wobei eine Richtlinie über die benannte Ressourcenmethode Berechtigungen für die Spalten col1, col2 und col3 gewährt und die andere Richtlinie Col5 und col6 über LF-Tags Berechtigungen für dieselbe Tabelle und denselben Principal gewährt, sind die effektiven Berechtigungen eine Vereinigung der Berechtigungen, nämlich col1, col2, col3, col5 und col6. Dazu gehören auch Datenfilter und Zeilen.

Berechtigungen zum Speicherort von Daten

Datenstandortberechtigungen bieten Benutzern ohne Administratorrechte die Möglichkeit, Datenbanken und Tabellen an bestimmten Amazon S3 S3-Standorten zu erstellen. Wenn ein Benutzer versucht, eine Datenbank oder eine Tabelle an einem Ort zu erstellen, zu dessen Erstellung er nicht berechtigt ist, schlägt die Erstellungsaufgabe fehl. Auf diese Weise wird verhindert, dass Benutzer Tabellen an beliebigen Stellen innerhalb des Data Lake erstellen, und ermöglicht die Kontrolle darüber, wo diese Benutzer Daten lesen und schreiben können. Beim Erstellen von Tabellen am Amazon S3 S3-Speicherort innerhalb der Datenbank, in der sie erstellt werden, besteht eine implizite Berechtigung. Weitere Informationen finden Sie unter Erteilung von Berechtigungen zum Speicherort von Daten.

Tabellen- und Datenbankberechtigungen erstellen

Benutzer ohne Administratorrechte sind standardmäßig nicht berechtigt, Datenbanken oder Tabellen innerhalb einer Datenbank zu erstellen. Die Datenbankerstellung wird auf Kontoebene mithilfe der Lake Formation Formation-Einstellungen gesteuert, sodass nur autorisierte Prinzipale Datenbanken erstellen können. Weitere Informationen finden Sie unter Erstellen einer Datenbank. Um eine Tabelle zu erstellen, benötigt ein Principal CREATE_TABLE Berechtigungen für die Datenbank, in der die Tabelle erstellt wird. Weitere Informationen finden Sie unter Erstellen von Tabellen.

Implizite und explizite Berechtigungen

Lake Formation bietet implizite Berechtigungen, abhängig von der Persona und den Aktionen, die die Persona ausführt. Beispielsweise erhalten Data Lake-Administratoren automatisch DESCRIBE Berechtigungen für alle Ressourcen im Datenkatalog, Datenspeicherberechtigungen für alle Standorte, Berechtigungen zum Erstellen von Datenbanken und Tabellen an allen Speicherorten sowie Grant Revoke Berechtigungen für jede Ressource. Datenbankersteller erhalten automatisch alle Datenbankberechtigungen für die von ihnen erstellten Datenbanken, und Tabellenersteller erhalten alle Berechtigungen für die von ihnen erstellten Tabellen. Weitere Informationen finden Sie unter Implizite Lake Formation Formation-Berechtigungen.

Erteilbare Berechtigungen

Data Lake-Administratoren haben die Möglichkeit, die Verwaltung von Berechtigungen an Benutzer ohne Administratorrechte zu delegieren, indem sie erteilbare Berechtigungen bereitstellen. Wenn einem Prinzipal erteilbare Berechtigungen für eine Ressource und eine Reihe von Berechtigungen zugewiesen werden, erhält dieser Principal die Möglichkeit, anderen Prinzipalen Berechtigungen für diese Ressource zu erteilen.