Mengubah pengaturan default untuk data lake Anda - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengubah pengaturan default untuk data lake Anda

Untuk menjaga kompatibilitas mundur denganAWS Glue, AWS Lake Formation memiliki pengaturan keamanan awal berikut:

  • SuperIzin diberikan kepada grup IAMAllowedPrincipals pada semua sumber daya Katalog AWS Glue Data yang ada.

  • Pengaturan “Gunakan hanya kontrol akses IAM” diaktifkan untuk sumber daya Katalog Data baru.

Pengaturan ini secara efektif menyebabkan akses ke sumber daya Katalog Data dan lokasi Amazon S3 dikendalikan semata-mata oleh kebijakan AWS Identity and Access Management (IAM). Izin Lake Formation individu tidak berlaku.

IAMAllowedPrincipalsGrup ini mencakup setiap pengguna IAM dan peran yang diizinkan mengakses sumber daya Katalog Data Anda oleh kebijakan IAM Anda. SuperIzin memungkinkan kepala sekolah untuk melakukan setiap operasi Lake Formation yang didukung pada database atau tabel yang diberikan.

Untuk mengubah pengaturan keamanan sehingga akses ke sumber Data Catalog (database dan tabel) dikelola oleh izin Lake Formation, lakukan hal berikut:

  1. Ubah pengaturan keamanan default untuk sumber daya baru. Untuk petunjuk, lihat Ubah model izin default atau gunakan mode akses hybrid.

  2. Ubah pengaturan untuk sumber daya Katalog Data yang ada. Untuk petunjuk, lihat Meningkatkan AWS Glue izin data untuk model AWS Lake Formation.

Mengubah pengaturan keamanan default menggunakan operasi Lake Formation PutDataLakeSettings API

Anda juga dapat mengubah pengaturan keamanan default dengan menggunakan operasi Lake Formation PutDataLakeSettingsAPI. Tindakan ini mengambil argumen ID katalog opsional dan DataLakeSettingsstruktur.

Untuk menerapkan metadata dan kontrol akses data yang mendasari oleh Lake Formation pada database dan tabel baru, kodekan struktur sebagai DataLakeSettings berikut.

catatan

Ganti <AccountID>dengan ID AWS akun yang valid dan <Username>dengan nama pengguna IAM yang valid. Anda dapat menentukan lebih dari satu pengguna sebagai administrator danau data.

{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>" } ], "CreateDatabaseDefaultPermissions": [], "CreateTableDefaultPermissions": [] } }

Anda juga dapat membuat kode struktur sebagai berikut. Menghilangkan CreateTableDefaultPermissions parameter CreateDatabaseDefaultPermissions or sama dengan melewatkan daftar kosong.

{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>" } ] } }

Tindakan ini secara efektif mencabut semua izin Lake Formation dari IAMAllowedPrincipals grup pada database dan tabel baru. Saat membuat database, Anda dapat mengganti pengaturan ini.

Untuk menegakkan metadata dan kontrol akses data yang mendasarinya hanya oleh IAM pada database dan tabel baru, kodekan struktur sebagai berikut. DataLakeSettings

{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>" } ], "CreateDatabaseDefaultPermissions": [ { "Principal": { "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS" }, "Permissions": [ "ALL" ] } ], "CreateTableDefaultPermissions": [ { "Principal": { "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS" }, "Permissions": [ "ALL" ] } ] } }

Ini memberikan izin Super Lake Formation ke IAMAllowedPrincipals grup pada database dan tabel baru. Saat membuat database, Anda dapat mengganti pengaturan ini.

catatan

Dalam DataLakeSettings struktur sebelumnya, satu-satunya nilai yang diizinkan DataLakePrincipalIdentifier adalahIAM_ALLOWED_PRINCIPALS, dan satu-satunya nilai yang diizinkan adalah. Permissions ALL