Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengubah pengaturan default untuk data lake Anda
Untuk menjaga kompatibilitas mundur denganAWS Glue, AWS Lake Formation memiliki pengaturan keamanan awal berikut:
-
Super
Izin diberikan kepada grupIAMAllowedPrincipals
pada semua sumber daya Katalog AWS Glue Data yang ada. -
Pengaturan “Gunakan hanya kontrol akses IAM” diaktifkan untuk sumber daya Katalog Data baru.
Pengaturan ini secara efektif menyebabkan akses ke sumber daya Katalog Data dan lokasi Amazon S3 dikendalikan semata-mata oleh kebijakan AWS Identity and Access Management (IAM). Izin Lake Formation individu tidak berlaku.
IAMAllowedPrincipals
Grup ini mencakup setiap pengguna IAM dan peran yang diizinkan mengakses sumber daya Katalog Data Anda oleh kebijakan IAM Anda. Super
Izin memungkinkan kepala sekolah untuk melakukan setiap operasi Lake Formation yang didukung pada database atau tabel yang diberikan.
Untuk mengubah pengaturan keamanan sehingga akses ke sumber Data Catalog (database dan tabel) dikelola oleh izin Lake Formation, lakukan hal berikut:
-
Ubah pengaturan keamanan default untuk sumber daya baru. Untuk petunjuk, lihat Ubah model izin default atau gunakan mode akses hybrid.
-
Ubah pengaturan untuk sumber daya Katalog Data yang ada. Untuk petunjuk, lihat Meningkatkan AWS Glue izin data untuk model AWS Lake Formation.
Mengubah pengaturan keamanan default menggunakan operasi Lake Formation PutDataLakeSettings
API
Anda juga dapat mengubah pengaturan keamanan default dengan menggunakan operasi Lake Formation PutDataLakeSettingsAPI. Tindakan ini mengambil argumen ID katalog opsional dan DataLakeSettingsstruktur.
Untuk menerapkan metadata dan kontrol akses data yang mendasari oleh Lake Formation pada database dan tabel baru, kodekan struktur sebagai DataLakeSettings
berikut.
catatan
Ganti <AccountID>dengan ID AWS akun yang valid dan
<Username>dengan nama pengguna IAM yang valid. Anda dapat menentukan lebih dari satu pengguna sebagai administrator danau data.
{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::
<AccountId>
:user/<Username>
" } ], "CreateDatabaseDefaultPermissions": [], "CreateTableDefaultPermissions": [] } }
Anda juga dapat membuat kode struktur sebagai berikut. Menghilangkan CreateTableDefaultPermissions
parameter CreateDatabaseDefaultPermissions
or sama dengan melewatkan daftar kosong.
{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::
<AccountId>
:user/<Username>
" } ] } }
Tindakan ini secara efektif mencabut semua izin Lake Formation dari IAMAllowedPrincipals
grup pada database dan tabel baru. Saat membuat database, Anda dapat mengganti pengaturan ini.
Untuk menegakkan metadata dan kontrol akses data yang mendasarinya hanya oleh IAM pada database dan tabel baru, kodekan struktur sebagai berikut. DataLakeSettings
{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::
<AccountId>
:user/<Username>
" } ], "CreateDatabaseDefaultPermissions": [ { "Principal": { "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS" }, "Permissions": [ "ALL" ] } ], "CreateTableDefaultPermissions": [ { "Principal": { "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS" }, "Permissions": [ "ALL" ] } ] } }
Ini memberikan izin Super
Lake Formation ke IAMAllowedPrincipals
grup pada database dan tabel baru. Saat membuat database, Anda dapat mengganti pengaturan ini.
catatan
Dalam DataLakeSettings
struktur sebelumnya, satu-satunya nilai yang diizinkan DataLakePrincipalIdentifier
adalahIAM_ALLOWED_PRINCIPALS
, dan satu-satunya nilai yang diizinkan adalah. Permissions
ALL