Berbagi data menggunakan kontrol akses berbasis tag - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Berbagi data menggunakan kontrol akses berbasis tag

AWS Lake Formation kontrol akses berbasis tag (LF-TBAC) adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut. Langkah-langkah berikut menjelaskan cara memberikan izin lintas akun dengan menggunakan LF-tag.

Pengaturan diperlukan pada akun produsen/pemberi

  1. Tentukan tag LF. Untuk petunjuk untuk membuat LF-tag, lihat. Membuat LF-tag

  2. Tetapkan LF-tag ke sumber daya target. Untuk informasi selengkapnya, lihat Menetapkan LF-tag ke sumber daya Katalog Data.

  3. Berikan izin LF-tag ke akun eksternal. Untuk informasi selengkapnya, lihat Memberikan izin LF-tag menggunakan konsol.

    Pada titik ini, administrator danau data konsumen harus dapat menemukan tag kebijakan yang dibagikan melalui konsol Lake Formation akun penerima hibah, di bawah Izin, peran dan tugas Administratif, LF-tag.

  4. Berikan izin data ke akun eksternal/penerima hibah.

    1. Di panel navigasi, di bawah Izin, Izin danau data, pilih Hibah.

    2. Untuk Prinsipal, pilih Akun eksternal, dan masukkan Akun AWS ID target atau IAM peran prinsipal atau Nama Sumber Daya Amazon (ARN) untuk prinsipal (prinsipal). ARN

    3. Untuk LF-tag atau sumber katalog, pilih kunci dan nilai LF-tag yang sedang dibagikan dengan akun konsumen (kunci Confidentiality dan nilai). public

    4. Untuk Izin, di bawah Sumber daya yang cocok dengan LF-tag (disarankan) pilih Tambahkan LF-tag.

    5. Pilih kunci dan nilai tag yang sedang dibagikan dengan akun penerima hibah (kunci Confidentiality dan nilaipublic).

    6. Untuk izin Database, pilih Jelaskan di bawah Izin database untuk memberikan izin akses di tingkat database.

    7. Administrator danau data konsumen harus dapat menemukan tag kebijakan yang dibagikan melalui akun konsumen di konsol Lake Formation di, di bawah Izin https://console.aws.amazon.com/lakeformation/, peran dan tugas Administratif, LF-tag.

    8. Pilih Jelaskan di bawah Izin yang dapat diberikan sehingga akun konsumen dapat memberikan izin tingkat database kepada penggunanya.

      Karena administrator data lake harus memberikan izin pada sumber daya bersama kepada prinsipal di akun penerima hibah, izin lintas akun harus selalu diberikan dengan opsi hibah.

      catatan

      Kepala sekolah yang menerima hibah lintas akun langsung tidak akan memiliki opsi izin yang Dapat Diberikan.

    9. Untuk izin Tabel dan kolom, pilih Pilih dan Jelaskan di bawah Izin tabel.

    10. Pilih Pilih dan Jelaskan di bawah Izin yang dapat diberikan.

    11. PilihIzin.

Pengaturan yang diperlukan pada akun penerimaan/penerima hibah

  1. Ketika Anda berbagi sumber daya dengan akun lain, sumber daya masih milik akun produsen dan tidak terlihat dalam konsol Athena. Untuk membuat sumber daya terlihat di konsol Athena, Anda perlu membuat tautan sumber daya yang menunjuk ke sumber daya bersama. Untuk petunjuk tentang cara membuat tautan sumber daya, lihat Membuat tautan sumber daya ke tabel Katalog Data bersama dan Membuat tautan sumber daya ke database Katalog Data bersama

  2. Anda perlu membuat kumpulan LF-tag terpisah di akun konsumen untuk menggunakan kontrol akses berbasis tag LF saat berbagi tautan sumber daya. Buat dan tetapkan LF-tag yang diperlukan ke database/tabel bersama dan tautan sumber daya.

  3. Berikan izin pada tag LF ini kepada IAM prinsipal di akun penerima hibah.