Gestion d'un lac de données à l'aide du contrôle d'accès basé sur des balises Lake Formation - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion d'un lac de données à l'aide du contrôle d'accès basé sur des balises Lake Formation

Des milliers de clients construisent des lacs de données à l'échelle du pétaoctet. AWS Nombre de ces clients ont l'habitude AWS Lake Formation de créer et de partager facilement leurs lacs de données au sein de l'entreprise. À mesure que le nombre de tables et d'utilisateurs augmente, les gestionnaires de données et les administrateurs cherchent des moyens de gérer facilement et à grande échelle les autorisations sur les lacs de données. Le contrôle d'accès basé sur les balises Lake Formation (LF-TBAC) résout ce problème en permettant aux gestionnaires de données de créer des balises LF (en fonction de leur classification et de leur ontologie de données) qui peuvent ensuite être attachées aux ressources.

Le LF-TBAC est une stratégie d'autorisation qui définit les autorisations en fonction des attributs. Dans Lake Formation, ces attributs sont appelés balises LF. Vous pouvez associer des balises LF aux ressources du catalogue de données et aux principes de Lake Formation. Les administrateurs des lacs de données peuvent attribuer et révoquer des autorisations sur les ressources de Lake Formation à l'aide de balises LF. Pour plus d'informations sur, voirContrôle d'accès basé sur des balises Lake Formation.

Ce didacticiel explique comment créer une politique de contrôle d'accès basée sur des balises Lake Formation à l'aide d'un ensemble de données AWS public. En outre, il montre comment interroger des tables, des bases de données et des colonnes associées à des politiques d'accès basées sur des balises Lake Formation.

Vous pouvez utiliser le LF-TBAC dans les cas d'utilisation suivants :

  • L'administrateur du lac de données doit accorder l'accès à un grand nombre de tables et de principes.

  • Vous souhaitez classer vos données en fonction d'une ontologie et accorder des autorisations en fonction de la classification

  • L'administrateur du lac de données souhaite attribuer des autorisations de manière dynamique, d'une manière peu couplée

Voici les étapes de haut niveau pour configurer les autorisations à l'aide de LF-TBAC :

  1. Le gestionnaire de données définit l'ontologie des balises à l'aide de deux balises LF : et. Confidential Sensitive Les données sont soumises à des Confidential=True contrôles d'accès plus stricts. Les données Sensitive=True nécessitent une analyse spécifique de la part de l'analyste.

  2. Le data steward attribue différents niveaux d'autorisation à l'ingénieur de données pour créer des tables avec différentes balises LF.

  3. L'ingénieur de données crée deux bases de données : tag_database etcol_tag_database. Toutes les tables incluses tag_database sont configurées avecConfidential=True. Toutes les tables du col_tag_database sont configurées avecConfidential=False. Certaines colonnes du tableau col_tag_database sont balisées Sensitive=True pour répondre à des besoins d'analyse spécifiques.

  4. L'ingénieur de données accorde l'autorisation de lecture à l'analyste pour les tables présentant une condition d'expression spécifique Confidential=True etConfidential=False,Sensitive=True.

  5. Grâce à cette configuration, l'analyste de données peut se concentrer sur l'analyse avec les bonnes données.

Rubriques