Mengelola LF-tag untuk kontrol akses metadata - AWS Lake Formation
Siklus hidup LF-tagPerbandingan kontrol akses berbasis tag Lake Formation dengan kontrol akses berbasis IAM atribut

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola LF-tag untuk kontrol akses metadata

Untuk menggunakan metode kontrol akses berbasis tag Lake Formation (LF-TBAC) untuk mengamankan sumber daya Katalog Data (database, tabel, dan kolom), Anda membuat LF-tag, menetapkannya ke sumber daya, dan memberikan izin LF-tag kepada prinsipal.

Sebelum Anda dapat menetapkan LF-tag ke sumber daya Katalog Data atau memberikan izin kepada prinsipal, Anda perlu menentukan LF-tag. Hanya administrator data lake atau prinsipal dengan izin pembuat LF-tag yang dapat membuat LF-tag.

Pembuat LF-tag

Pembuat LF-tag adalah kepala sekolah non-admin yang memiliki izin untuk membuat dan mengelola LF-tag. Administrator data lake dapat menambahkan pembuat LF-tag menggunakan konsol Lake Formation atau. CLI Pembuat LF-tag memiliki izin Lake Formation implisit untuk memperbarui, dan menghapus LF-tag, untuk menetapkan LF-tag ke sumber daya, dan untuk memberikan izin LF-tag dan izin nilai LF-tag ke prinsipal lain.

Dengan peran pembuat LF-tag, administrator data lake dapat mendelegasikan tugas manajemen tag seperti membuat dan memperbarui kunci dan nilai tag ke prinsipal non-admin. Administrator data lake juga dapat memberikan izin yang dapat diberikan kepada pembuat LF-tag. Create LF-Tag Kemudian, pembuat LF-tag dapat memberikan izin untuk membuat LF-tag ke prinsipal lain.

Anda dapat memberikan dua jenis izin pada LF-tag:

  • Izin LF-tag -Create LF-Tag,, Alter dan. Drop Izin ini diperlukan untuk membuat, memperbarui, dan menghapus LF-tag.

    Administrator data lake dan pembuat LF-tag secara implisit memiliki izin ini pada LF-tag yang mereka buat dan dapat memberikan izin ini secara eksplisit kepada prinsipal untuk mengelola tag di data lake.

  • Izin pasangan nilai kunci LF-tag -,, dan. Assign Describe Grant with LF-Tag expressions Izin ini diperlukan untuk menetapkan LF-tag ke database, tabel, dan kolom Katalog Data, dan untuk memberikan izin pada sumber daya kepada prinsipal menggunakan kontrol akses berbasis tag Lake Formation. Pembuat LF-tag secara implisit menerima izin ini saat membuat LF-tag.

Setelah menerima Create LF-Tag izin dan berhasil membuat LF-tag, pembuat LF-tag dapat menetapkan LF-tag ke sumber daya dan memberikan izin LF-tag (Create LF-Tag,, AlterDrop, dan) kepada prinsipal non-administratif lainnya untuk mengelola tag di danau data. Anda dapat mengelola LF-tag dengan menggunakan konsol Lake Formation, theAPI, atau AWS Command Line Interface ()AWS CLI.

catatan

Administrator data lake memiliki izin Lake Formation implisit untuk membuat, memperbarui, dan menghapus LF-tag, untuk menetapkan LF-tag ke sumber daya, dan untuk memberikan izin LF-tag kepada prinsipal.

Untuk praktik dan pertimbangan terbaik, lihat Praktik dan pertimbangan terbaik kontrol akses berbasis tag Lake Formation

Topik
Lihat juga

Siklus hidup LF-tag

  1. Pencipta LF-tag Michael menciptakan LF-tag. module=Customers

  2. Michael memberikan LF-tag Associate kepada insinyur data Eduardo. Memberikan hibah Associate implisit. Describe

  3. Michael memberikan Super di atas meja Custs kepada Eduardo dengan opsi hibah, sehingga Eduardo dapat menetapkan LF-tag ke meja. Untuk informasi selengkapnya, lihat Menetapkan LF-tag ke sumber daya Katalog Data.

  4. Eduardo memberikan LF-tag module=customers ke meja. Custs

  5. Michael memberikan hibah berikut kepada insinyur data Sandra (dalam kode semu).

    GRANT (SELECT, INSERT ON TABLES) ON TAGS module=customers TO Sandra WITH GRANT OPTION

  6. Sandra memberikan hibah berikut kepada analis data Maria.

    GRANT (SELECT ON TABLES) ON TAGS module=customers TO Maria

    Maria sekarang dapat menjalankan kueri di atas Custs meja.

Lihat juga

Perbandingan kontrol akses berbasis tag Lake Formation dengan kontrol akses berbasis IAM atribut

Attribute-based access control (ABAC) adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut. Dalam AWS, atribut ini disebut tag. Anda dapat melampirkan tag ke IAM sumber daya, termasuk IAM entitas (pengguna atau peran) dan AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kecil kebijakan untuk IAM prinsipal Anda. ABACKebijakan ini dapat dirancang untuk memungkinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. ABACmembantu dalam lingkungan yang berkembang pesat dan membantu dengan situasi di mana manajemen kebijakan menjadi rumit.

Tim keamanan dan tata kelola cloud digunakan IAM untuk menentukan kebijakan akses dan izin keamanan untuk semua sumber daya termasuk bucket Amazon S3, instans EC2 Amazon, dan sumber daya apa pun yang dapat Anda referensikan dengan file. ARN IAMKebijakan menentukan izin luas (berbutir kasar) ke sumber daya data lake Anda, misalnya, untuk mengizinkan atau menolak akses di bucket Amazon S3 atau tingkat awalan atau tingkat basis data. Untuk informasi lebih lanjut tentang IAMABAC, lihat ABACUntuk apa AWS? dalam IAMUser Guide.

Misalnya, Anda dapat membuat tiga peran dengan kunci tanda project-access. Mengatur nilai tanda dari peran pertama ke Dev, yang kedua ke Marketing, dan yang ketiga ke Support. Tetapkan tag dengan nilai yang sesuai untuk sumber daya. Anda kemudian dapat menggunakan kebijakan tunggal yang memungkinkan akses ketika peran dan sumber daya ditandai dengan nilai yang sama untuk project-access.

Tim tata kelola data menggunakan Lake Formation untuk menentukan izin berbutir halus ke sumber daya data lake tertentu. LF-tag ditetapkan ke sumber daya Katalog Data (database, tabel, dan kolom) dan diberikan kepada prinsipal. Prinsipal dengan LF-tag yang cocok dengan LF-tag sumber daya dapat mengakses sumber daya tersebut. Izin Lake Formation adalah sekunder dari IAM izin. Misalnya, jika IAM izin tidak mengizinkan pengguna mengakses data lake, Lake Formation tidak memberikan akses ke sumber daya apa pun di dalam data lake tersebut kepada pengguna tersebut, meskipun prinsipal dan sumber daya memiliki tag LF yang cocok.

Kontrol akses berbasis tag Lake Formation (LF-TBAC) berfungsi IAM ABAC untuk memberikan tingkat izin tambahan untuk data dan sumber daya Lake Formation Anda.

  • Skala TBAC izin Lake Formation dengan inovasi. Administrator idak perlu lagi memperbarui kebijakan yang ada untuk memungkinkan akses ke sumber daya baru. Misalnya, asumsikan bahwa Anda menggunakan IAM ABAC strategi dengan project-access tag untuk menyediakan akses ke database tertentu dalam Lake Formation. Menggunakan LF-TBAC, LF-tag Project=SuperApp ditetapkan ke tabel atau kolom tertentu, dan LF-tag yang sama diberikan kepada pengembang untuk proyek itu. MelaluiIAM, pengembang dapat mengakses database, dan TBAC izin LF memberikan pengembang akses lebih lanjut ke tabel atau kolom tertentu dalam tabel. Jika tabel baru ditambahkan ke proyek, administrator Lake Formation hanya perlu menetapkan tag ke tabel baru agar pengembang diberi akses ke tabel.

  • Lake Formation TBAC membutuhkan lebih sedikit IAM kebijakan. Karena Anda menggunakan IAM kebijakan untuk memberikan akses tingkat tinggi ke sumber daya Lake Formation dan Lake Formation TBAC untuk mengelola akses data yang lebih tepat, Anda membuat lebih sedikit IAM kebijakan.

  • Menggunakan Lake FormationTBAC, tim dapat berubah dan tumbuh dengan cepat. Ini karena izin untuk sumber daya baru secara otomatis diberikan berdasarkan atribut. Misalnya, jika pengembang baru bergabung dengan proyek, mudah untuk memberikan akses pengembang ini dengan mengaitkan IAM peran tersebut ke pengguna dan kemudian menetapkan LF-tag yang diperlukan kepada pengguna. Anda tidak perlu mengubah IAM kebijakan untuk mendukung proyek baru atau membuat LF-tag baru.

  • Izin berbutir halus dimungkinkan menggunakan Lake Formation. TBAC IAMkebijakan memberikan akses ke sumber daya tingkat atas, seperti database atau tabel Katalog Data. Menggunakan Lake Formation TBAC, Anda dapat memberikan akses ke tabel atau kolom tertentu yang berisi nilai data tertentu.

catatan

IAMtag tidak sama dengan LF-tag. Tag ini tidak dapat dipertukarkan. LF-tag digunakan untuk memberikan izin Lake Formation dan IAM tag digunakan untuk menentukan kebijakan. IAM