Vue d'ensemble des autorisations relatives à Lake Formation - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vue d'ensemble des autorisations relatives à Lake Formation

Il existe deux principaux types d'autorisations dans AWS Lake Formation :

  • Accès aux métadonnées : autorisations sur les ressources du catalogue de données (autorisations du catalogue de données).

    Ces autorisations permettent aux principaux de créer, de lire, de mettre à jour et de supprimer des bases de données et des tables de métadonnées dans le catalogue de données.

  • Accès aux données sous-jacent : autorisations sur les sites Amazon Simple Storage Service (Amazon S3) (autorisations d'accès aux données et autorisations de localisation des données).

    • Les autorisations du lac de données permettent aux principaux de lire et d'écrire des données sur des emplacements Amazon S3 sous-jacents, des données pointées par les ressources du catalogue de données.

    • Les autorisations de localisation des données permettent aux principaux de créer et de modifier des bases de données et des tables de métadonnées qui pointent vers des emplacements Amazon S3 spécifiques.

Pour les deux zones, Lake Formation utilise une combinaison d'autorisations Lake Formation et d'autorisations AWS Identity and Access Management (IAM). Le modèle d'autorisations IAM comprend des politiques IAM. Le modèle d'autorisations de Lake Formation est implémenté sous forme de commandes GRANT/REVOKE de style DBMS, telles que. Grant SELECT on tableName to userName

Lorsqu'un principal demande d'accès aux ressources du catalogue de données ou aux données sous-jacentes, pour que la demande aboutisse, il doit passer les contrôles d'autorisation par IAM et par Lake Formation.

La demande d'un demandeur doit passer par deux « portes » pour accéder aux ressources : les autorisations Lake Formation et les autorisations IAM.

Les autorisations de Lake Formation contrôlent l'accès aux ressources du catalogue de données, aux sites Amazon S3 et aux données sous-jacentes de ces sites. Les autorisations IAM contrôlent l'accès à la Lake Formation, aux AWS Glue API et aux ressources. Ainsi, bien que vous ayez l'autorisation Lake Formation pour créer une table de métadonnées dans le catalogue de données (CREATE_TABLE), votre opération échoue si vous ne disposez pas de l'autorisation IAM sur l'glue:CreateTableAPI. (Pourquoi une glue: autorisation ? Parce que Lake Formation utilise le catalogue de AWS Glue données.)

Note

Les autorisations de Lake Formation ne s'appliquent que dans la région dans laquelle elles ont été accordées.

AWS Lake Formation exige que chaque principal (utilisateur ou rôle) soit autorisé à effectuer des actions sur les ressources gérées par Lake Formation. Le principal reçoit les autorisations nécessaires de la part de l'administrateur du lac de données ou d'un autre directeur autorisé à accorder les autorisations nécessaires à Lake Formation.

Lorsque vous accordez une autorisation de Lake Formation à un directeur, vous pouvez éventuellement accorder la possibilité de transmettre cette autorisation à un autre principal.

Vous pouvez utiliser l'API Lake Formation, le AWS Command Line Interface (AWS CLI) ou les pages Autorisations de données et Localisation des données de la console Lake Formation pour accorder et révoquer les autorisations de Lake Formation.