Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations relatives aux métadonnées
Lake Formation fournit l'autorisation et le contrôle d'accès au catalogue de données. Lorsqu'un IAM rôle API appelle un catalogue de données depuis n'importe quel système, le catalogue de données vérifie les autorisations de données de l'utilisateur et renvoie uniquement les métadonnées auxquelles l'utilisateur est autorisé à accéder. Par exemple, si un IAM rôle n'a accès qu'à une seule table dans une base de données et qu'un service ou un utilisateur assumant le rôle effectue l'GetTablesopération, la réponse ne contiendra qu'une seule table, quel que soit le nombre de tables de la base de données.
Paramètres par défaut - autorisations IAMAllowedPrincipal de groupe
AWS Lake Formation, par défaut, attribue des autorisations à toutes les bases de données et tables à un groupe virtuel nomméIAMAllowedPrincipal. Ce groupe est unique et visible uniquement au sein de Lake Formation. Le IAMAllowedPrincipal groupe inclut tous les IAM principaux qui ont accès aux ressources du catalogue de données par le biais de politiques IAM principales et de politiques de AWS Glue ressources. Si cette autorisation existe sur une base de données ou une table, tous les principaux auront accès à la base de données ou à la table.
Si vous souhaitez fournir des autorisations plus détaillées sur une base de données ou une table, supprimez IAMAllowedPrincipal l'autorisation et Lake Formation appliquera toutes les autres politiques associées à cette base de données ou table. Par exemple, s'il existe une politique qui permet à l'utilisateur A d'accéder à la base de données A avec DESCRIBE des autorisations, et IAMAllowedPrincipal qu'elle existe avec toutes les autorisations, l'utilisateur A continuera à effectuer toutes les autres actions jusqu'à ce que l'IAMAllowedPrincipalautorisation soit révoquée.
En outre, par défaut, le IAMAllowedPrincipal groupe dispose d'autorisations sur toutes les nouvelles bases de données et tables lors de leur création. Deux configurations contrôlent ce comportement. Le premier est au niveau du compte et de la région, ce qui permet cela pour les bases de données nouvellement créées, et le second au niveau de la base de données. Pour modifier le paramètre par défaut, voirModifier le modèle d'autorisation par défaut ou utiliser le mode d'accès hybride.
Octroi d’autorisations
Les administrateurs des lacs de données peuvent accorder des autorisations de catalogue de données aux principaux afin que ceux-ci puissent créer et gérer des bases de données et des tables, et accéder aux données sous-jacentes.
Autorisations au niveau de la base de données et de la table
Lorsque vous accordez des autorisations au sein de Lake Formation, le concédant doit spécifier le principal auquel les autorisations doivent être accordées, les ressources pour lesquelles les autorisations doivent être accordées et les actions que le bénéficiaire doit avoir accès pour effectuer. Pour la plupart des ressources de Lake Formation, la liste principale et les ressources auxquelles accorder des autorisations sont similaires, mais les actions qu'un bénéficiaire peut effectuer varient en fonction du type de ressource. Par exemple, SELECT des autorisations sont disponibles pour les tables pour lire les tables, mais SELECT pas pour les bases de données. L'CREATE_TABLEautorisation est autorisée sur les bases de données, mais pas sur les tables.
Vous pouvez accorder AWS Lake Formation des autorisations de deux manières :
Méthode de ressource nommée : vous permet de choisir les noms de base de données et de tables tout en accordant des autorisations aux utilisateurs.
-
Contrôle d'accès basé sur les balises LF (LF-TBAC) : les utilisateurs créent des balises LF, les associent aux ressources du catalogue de données, accordent des autorisations sur les balises LF, associent des autorisations à des utilisateurs individuels et rédigent des politiques d'
Describeautorisation LF à l'aide de balises LF destinées à différents utilisateurs. Ces politiques basées sur des balises LF s'appliquent à toutes les ressources du catalogue de données associées à ces valeurs de balises LF.Note
Les balises LF sont propres à Lake Formation. Ils ne sont visibles que dans Lake Formation et ne doivent pas être confondus avec les balises de AWS ressources.
LF- TBAC est une fonctionnalité qui permet aux utilisateurs de regrouper les ressources dans des catégories définies par l'utilisateur de balises LF et d'appliquer des autorisations à ces groupes de ressources. C'est donc le meilleur moyen d'étendre les autorisations à un grand nombre de ressources du catalogue de données.
Pour de plus amples informations, veuillez consulter Contrôle d'accès basé sur des balises Lake Formation.
Lorsque vous accordez des autorisations à un directeur, Lake Formation évalue les autorisations comme une union de toutes les politiques relatives à cet utilisateur. Par exemple, si vous avez deux politiques sur une table pour un principal où l'une accorde des autorisations aux colonnes col1, col2 et col3 par le biais d'une méthode de ressource nommée, et l'autre politique accorde des autorisations à la même table et au même principal à col5, et col6 via des balises LF, les autorisations effectives seront une union des autorisations qui seraient col1, col2, col3, col5 et col6. Cela inclut également les filtres de données et les lignes.
Autorisations de localisation des données
Les autorisations de localisation des données permettent aux utilisateurs non administrateurs de créer des bases de données et des tables sur des sites Amazon S3 spécifiques. Si un utilisateur tente de créer une base de données ou une table dans un emplacement qu'il n'est pas autorisé à créer, la tâche de création échoue. Cela permet d'empêcher les utilisateurs de créer des tables à des emplacements arbitraires dans le lac de données et de contrôler les endroits où ces utilisateurs peuvent lire et écrire des données. Il existe une autorisation implicite lors de la création de tables dans l'emplacement Amazon S3 au sein de la base de données dans laquelle elles sont créées. Pour de plus amples informations, veuillez consulter Octroi d'autorisations de localisation des données.
Créer des autorisations de table et de base de données
Par défaut, les utilisateurs non administrateurs ne sont pas autorisés à créer des bases de données ou des tables au sein d'une base de données. La création de bases de données est contrôlée au niveau du compte à l'aide des paramètres de Lake Formation afin que seuls les principaux autorisés puissent créer des bases de données. Pour de plus amples informations, veuillez consulter Création d’une base de données. Pour créer une table, le principal a besoin d'une CREATE_TABLE autorisation sur la base de données dans laquelle la table est créée. Pour de plus amples informations, veuillez consulter Création de tables.
Autorisations implicites et explicites
Lake Formation fournit des autorisations implicites en fonction du personnage et des actions qu'il effectue. Par exemple, les administrateurs des lacs de données obtiennent automatiquement DESCRIBE des autorisations pour toutes les ressources du catalogue de données, des autorisations de localisation des données pour tous les emplacements, des autorisations pour créer des bases de données et des tables dans tous les emplacements, ainsi que Grant Revoke des autorisations sur n'importe quelle ressource. Les créateurs de bases de données obtiennent automatiquement toutes les autorisations de base de données sur les bases de données qu'ils créent, et les créateurs de tables obtiennent toutes les autorisations sur les tables qu'ils créent. Pour de plus amples informations, veuillez consulter Permissions implicites de Lake Formation.
Autorisations pouvant être accordées
Les administrateurs de data lake ont la possibilité de déléguer la gestion des autorisations à des utilisateurs non administratifs en fournissant des autorisations pouvant être accordées. Lorsqu'un principal reçoit des autorisations pouvant être accordées sur une ressource et un ensemble d'autorisations, ce principal peut accorder des autorisations à d'autres principaux sur cette ressource.
