Ikhtisar izin Lake Formation - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ikhtisar izin Lake Formation

Ada dua jenis izin utama di AWS Lake Formation:

  • Akses metadata — Izin pada sumber daya Katalog Data (Izin Katalog Data).

    Izin ini memungkinkan prinsipal untuk membuat, membaca, memperbarui, dan menghapus database dan tabel metadata di Katalog Data.

  • Akses data yang mendasari — Izin pada lokasi di Amazon Simple Storage Service (Amazon S3) (izin akses data dan izin lokasi data).

    • Izin data lake memungkinkan prinsipal untuk membaca dan menulis data ke lokasi Amazon S3 yang mendasarinya—data yang ditunjukkan oleh sumber daya Katalog Data.

    • Izin lokasi data memungkinkan prinsipal untuk membuat dan mengubah database dan tabel metadata yang mengarah ke lokasi Amazon S3 tertentu.

Untuk kedua area tersebut, Lake Formation menggunakan kombinasi izin Lake Formation dan AWS Identity and Access Management (IAM). Model izin IAM terdiri dari kebijakan IAM. Model izin Lake Formation diimplementasikan sebagai perintah GRANT/REVOKE gaya DBMS, seperti. Grant SELECT on tableName to userName

Ketika kepala sekolah membuat permintaan untuk mengakses sumber daya Katalog Data atau data yang mendasarinya, agar permintaan berhasil, ia harus lulus pemeriksaan izin oleh IAM dan Lake Formation.

Permintaan pemohon harus melewati dua “pintu” untuk mendapatkan sumber daya: izin Lake Formation dan izin IAM.

Izin Lake Formation mengontrol akses ke sumber daya Katalog Data, lokasi Amazon S3, dan data dasar di lokasi tersebut. Izin IAM mengontrol akses ke Lake Formation dan AWS Glue API serta sumber daya. Jadi meskipun Anda mungkin memiliki izin Lake Formation untuk membuat tabel metadata di Data Catalog (CREATE_TABLE), operasi Anda gagal jika Anda tidak memiliki izin IAM pada API. glue:CreateTable (Mengapa glue: izin? Karena Lake Formation menggunakan Katalog AWS Glue Data.)

catatan

Izin Lake Formation hanya berlaku di Wilayah di mana mereka diberikan.

AWS Lake Formation mengharuskan setiap kepala sekolah (pengguna atau peran) diberi wewenang untuk melakukan tindakan pada sumber daya yang dikelola Lake Formation. Seorang kepala sekolah diberikan otorisasi yang diperlukan oleh administrator danau data atau kepala sekolah lain dengan izin untuk memberikan izin Lake Formation.

Ketika Anda memberikan izin Lake Formation kepada kepala sekolah, Anda dapat secara opsional memberikan kemampuan untuk memberikan izin itu kepada kepala sekolah lain.

Anda dapat menggunakan Lake Formation API, halaman AWS Command Line Interface (AWS CLI), atau izin Data dan lokasi Data pada konsol Lake Formation untuk memberikan dan mencabut izin Lake Formation.