Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol akses metadata
Untuk kontrol akses sumber daya Katalog Data, diskusi berikut mengasumsikan kontrol akses berbutir halus dengan izin Lake Formation dan kontrol akses berbutir kasar dengan kebijakan IAM.
Ada dua metode berbeda untuk memberikan izin Lake Formation pada sumber daya Katalog Data:
-
Kontrol akses sumber daya bernama — Dengan metode ini, Anda memberikan izin pada database atau tabel tertentu dengan menentukan nama database atau tabel. Hibah memiliki formulir ini:
Berikan izin kepada kepala sekolah tentang sumber daya [dengan opsi hibah].
Dengan opsi hibah, Anda dapat mengizinkan penerima hibah untuk memberikan izin kepada kepala sekolah lainnya.
-
Kontrol akses berbasis tag — Dengan metode ini, Anda menetapkan satu atau beberapa LF-tag ke database, tabel, dan kolom Katalog Data, dan memberikan izin pada satu atau beberapa LF-tag ke prinsipal. Setiap LF-tag adalah pasangan kunci-nilai, seperti.
department=salesPrinsipal yang memiliki LF-tag yang cocok dengan LF-tag pada sumber daya Katalog Data dapat mengakses sumber daya tersebut. Metode ini direkomendasikan untuk danau data dengan sejumlah besar database dan tabel. Ini dijelaskan secara rinci dalamKontrol akses berbasis tag Lake Formation.
Izin yang dimiliki kepala sekolah pada sumber daya adalah gabungan izin yang diberikan oleh kedua metode.
Tabel berikut merangkum izin Lake Formation yang tersedia pada sumber daya Katalog Data. Judul kolom menunjukkan sumber daya tempat izin diberikan.
| Katalog | Basis Data | Tabel |
|---|---|---|
CREATE_DATABASE |
CREATE_TABLE |
ALTER |
ALTER |
DROP |
|
DROP |
DESCRIBE |
|
DESCRIBE |
SELECT* |
|
INSERT* |
||
DELETE* |
Misalnya, CREATE_TABLE izin diberikan pada database. Ini berarti bahwa prinsipal diperbolehkan untuk membuat tabel dalam database itu.
Izin dengan tanda bintang (*) diberikan pada sumber daya Katalog Data, tetapi berlaku untuk data yang mendasarinya. Misalnya, DROP izin pada tabel metadata memungkinkan Anda untuk menjatuhkan tabel dari Katalog Data. Namun, DELETE izin yang diberikan pada tabel yang sama memungkinkan Anda untuk menghapus data dasar tabel di Amazon S3, menggunakan, misalnya, pernyataan SQLDELETE. Dengan izin ini, Anda juga dapat melihat tabel di konsol Lake Formation dan mengambil informasi tentang tabel dengan AWS Glue API. Dengan demikianSELECT,INSERT,, dan DELETE keduanya merupakan izin Katalog Data dan izin akses data.
Saat memberikan SELECT pada tabel, Anda dapat menambahkan filter yang menyertakan atau mengecualikan satu atau beberapa kolom. Ini memungkinkan kontrol akses berbutir halus pada kolom tabel metadata, membatasi kolom yang dapat dilihat pengguna layanan terintegrasi saat menjalankan kueri. Kemampuan ini tidak tersedia hanya dengan menggunakan kebijakan IAM.
Ada juga izin khusus bernamaSuper. SuperIzin memungkinkan kepala sekolah untuk melakukan setiap operasi Lake Formation yang didukung pada database atau tabel yang diberikan. Izin ini dapat hidup berdampingan dengan izin Lake Formation lainnya. Misalnya, Anda dapat memberikanSuper,SELECT, dan INSERT pada tabel metadata. Prinsipal dapat melakukan semua tindakan yang didukung di atas meja, dan ketika Anda mencabutSuper, INSERT izin SELECT dan tetap ada.
Untuk detail tentang setiap izin, lihatReferensi izin Lake Formation.
penting
Untuk dapat melihat tabel Katalog Data yang dibuat oleh pengguna lain, Anda harus diberikan setidaknya satu izin Lake Formation di atas meja. Jika Anda diberikan setidaknya satu izin di atas meja, Anda juga dapat melihat tabel yang berisi database.
Anda dapat memberikan atau mencabut izin Katalog Data menggunakan konsol Lake Formation, API, atau (). AWS Command Line Interface AWS CLI Berikut ini adalah contoh AWS CLI perintah yang memberikan datalake_user1 izin pengguna untuk membuat tabel dalam retail database.
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
Berikut ini adalah contoh kebijakan IAM kontrol akses kasar yang melengkapi kontrol akses berbutir halus dengan izin Lake Formation. Ini memungkinkan semua operasi pada database atau tabel metadata apa pun.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:*Database*", "glue:*Table*", "glue:*Partition*" ], "Resource": "*" } ] }
Contoh selanjutnya juga berbutir kasar tetapi agak lebih membatasi. Ini memungkinkan operasi hanya-baca pada semua database dan tabel metadata di Katalog Data di akun dan Wilayah yang ditunjuk.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetTables", "glue:SearchTables", "glue:GetTable", "glue:GetDatabase", "glue:GetDatabases" ], "Resource": "arn:aws:glue:us-east-1:111122223333:*" } ] }
Bandingkan kebijakan ini dengan kebijakan berikut, yang menerapkan kontrol akses berbutir halus berbasis IAM. Ini memberikan izin hanya pada subset tabel dalam database metadata manajemen hubungan pelanggan (CRM) di akun dan Wilayah yang ditunjuk.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetTables", "glue:SearchTables", "glue:GetTable", "glue:GetDatabase", "glue:GetDatabases" ], "Resource": [ "arn:aws:glue:us-east-1:111122223333:catalog", "arn:aws:glue:us-east-1:111122223333:database/CRM", "arn:aws:glue:us-east-1:111122223333:table/CRM/P*" ] } ] }
Untuk lebih banyak contoh kebijakan kontrol akses berbutir kasar, lihat. Referensi personas Lake Formation dan izin IAM
