Concessione delle autorizzazioni per il data lake utilizzando il metodo LF-TBAC - AWS Lake Formation
Concessione delle autorizzazioni di Data Catalog utilizzando il metodo LF-TBAC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concessione delle autorizzazioni per il data lake utilizzando il metodo LF-TBAC

Puoi concedere le autorizzazioni DESCRIBE e ASSOCIATE Lake Formation sui tag LF ai mandanti in modo che possano visualizzare i tag LF e assegnarli alle risorse del Data Catalog (database, tabelle, viste e colonne). Quando i tag LF vengono assegnati alle risorse del Data Catalog, è possibile utilizzare il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC) per proteggere tali risorse. Per ulteriori informazioni, consulta Controllo degli accessi basato su tag Lake Formation.

Inizialmente, solo l'amministratore del data lake può concedere queste autorizzazioni. Se l'amministratore del data lake concede queste autorizzazioni con l'opzione di concessione, altri responsabili possono concederle. Le ASSOCIATE autorizzazioni DESCRIBE e sono spiegate in. Buone pratiche e considerazioni per il controllo degli accessi basato su tag Lake Formation

È possibile concedere le ASSOCIATE autorizzazioni DESCRIBE and su un tag LF a un account esterno. AWS Un amministratore di data lake in quell'account può quindi concedere tali autorizzazioni ad altri responsabili dell'account. I responsabili a cui l'amministratore del data lake dell'account esterno concede l'ASSOCIATEautorizzazione possono quindi assegnare LF-Tags alle risorse del Data Catalog che hai condiviso con il loro account.

Quando si concede a un account esterno, è necessario includere l'opzione di concessione.

È possibile concedere le autorizzazioni sui tag LF utilizzando la AWS Lake Formation console, l'API o (). AWS Command Line Interface AWS CLI

Consulta anche

Concessione delle autorizzazioni di Data Catalog

Usa la console Lake Formation o AWS CLI concedi le autorizzazioni di Lake Formation su database, tabelle, viste e colonne di Data Catalog utilizzando il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC).

Console

I passaggi seguenti spiegano come concedere le autorizzazioni utilizzando il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC) e la pagina Grant data lake permissions sulla console Lake Formation. La pagina è suddivisa nelle seguenti sezioni:

  • Principi: utenti, ruoli e autorizzazioni Account AWS a cui concedere le autorizzazioni.

  • Tag LF o risorse del catalogo: database, tabelle o collegamenti a risorse a cui concedere le autorizzazioni.

  • Autorizzazioni: autorizzazioni da concedere a The Lake Formation.

  1. Apri la pagina Concedi le autorizzazioni del data lake.

    Apri la AWS Lake Formation console all'indirizzo https://console.aws.amazon.com/lakeformation/e accedi come amministratore del data lake o come utente a cui sono state concesse le autorizzazioni Lake Formation sulle risorse del Data Catalog tramite LF-TBAC con l'opzione di concessione.

    Nel pannello di navigazione, sotto Autorizzazioni, scegli Autorizzazioni Data Lake. Quindi scegliere Concedi.

  2. Specificate i principi.

    Nella sezione Principali, scegli un tipo principale, quindi specifica i principali a cui concedere le autorizzazioni.

    La sezione Principi contiene quattro riquadri denominati nel testo seguente. Ogni riquadro contiene un pulsante di opzione e un testo. Il riquadro IAM Identity Center è selezionato e l'elenco a discesa di utenti e gruppi si trova sotto i riquadri.
    Utenti e ruoli IAM

    Scegli uno o più utenti o ruoli dall'elenco degli utenti e dei ruoli IAM.

    Centro identità IAM

    Scegli uno o più utenti o dall'elenco Utenti e gruppi.

    Utenti e gruppi SAML

    Per QuickSight utenti e gruppi SAML e Amazon, inserisci uno o più Amazon Resource Names (ARNs) per utenti o gruppi federati tramite SAML o per QuickSight utenti o gruppi ARNs Amazon. Premi Invio dopo ogni ARN.

    Per informazioni su come costruire il ARNs, vedere. Comandi di concessione e AWS CLI revoca di Lake Formation

    Nota

    L'integrazione di Lake Formation con Amazon QuickSight è supportata solo per Amazon QuickSight Enterprise Edition.

    Account esterni

    Per Account AWS, AWS organizzazione o responsabile IAM, inserisci una o più organizzazioni Account AWS IDs IDs IDs, unità organizzative o ARN validi per l'utente o il ruolo IAM. Premi Invio dopo ogni ID.

    Un ID dell'organizzazione è composto da «o-» seguito da 10-32 lettere o cifre minuscole.

    L'ID di un'unità organizzativa inizia con «ou-» seguito da 4 a 32 lettere o cifre minuscole (l'ID della radice che contiene l'unità organizzativa). Questa stringa è seguita da un secondo trattino «-» e da 8 a 32 lettere o cifre minuscole aggiuntive.

  3. Specificate i tag LF.

    Assicuratevi che sia selezionata l'opzione Risorse abbinate ai tag LF. Scegliete le coppie chiave-valore del tag LF o le espressioni di tag LF salvate.

    1. Se scegliete l'opzione delle coppie chiave-valore LF-Tag, scegliete le chiavi e i valori.

      Se scegliete più di un valore, state creando un'espressione LF-tag con un operatore. OR Ciò significa che se uno qualsiasi dei valori del tag LF corrisponde a un tag LF assegnato a una risorsa del Data Catalog, vengono concesse le autorizzazioni sulla risorsa.

      La sezione delle risorse del tag LF o del catalogo contiene due riquadri disposti orizzontalmente, in cui ogni riquadro contiene un pulsante di opzione e un testo descrittivo. Le opzioni sono Risorse abbinate ai tag LF (consigliate) e Risorse del catalogo di dati denominate. Sono selezionate le risorse corrispondenti ai tag LF. Sotto i riquadri ci sono un campo Chiave e un campo Valori disposti orizzontalmente. Il campo Chiave contiene «modulo» e il campo Valori è un elenco a discesa che contiene tre voci: Ordini, Vendite e Clienti. A ogni voce è associata una casella di controllo. La casella di controllo Clienti è selezionata. A destra di questi due campi c'è un pulsante Rimuovi. Nella parte inferiore è presente il pulsante Aggiungi tag LF, che indica che è possibile aggiungere un'altra riga contenente i campi Chiave e Valori e un pulsante Rimuovi.

    2. (Facoltativo) Scegliete nuovamente Aggiungi coppia chiave-valore LF-tag per specificare un altro tag LF.

      Se specificate più di un tag LF, state creando un'espressione di tag LF con un operatore. AND Al principale vengono concesse le autorizzazioni su una risorsa del Data Catalog solo se alla risorsa è stato assegnato un tag LF corrispondente per ogni tag LF nell'espressione del tag LF.

    3. Scegliete l'opzione Salva come nuova espressione per riutilizzare l'espressione.

      È necessario Create LF-Tag expression salvare le espressioni.

      Per ulteriori informazioni sulle espressioni dei tag LF, vedere. Gestione delle espressioni LF-tag per il controllo dell'accesso ai metadati

  4. Specificare le autorizzazioni.

    Specificate le autorizzazioni che desiderate concedere al principale per le risorse del Data Catalog corrispondenti. Le risorse corrispondenti sono quelle a cui sono stati assegnati tag LF che corrispondono a una delle espressioni LF-Tag concesse al principale.

    È possibile specificare le autorizzazioni da concedere ai database corrispondenti, alle tabelle corrispondenti e alle viste corrispondenti.

    Vengono mostrate due sezioni della pagina. La sezione Autorizzazioni del database contiene le caselle di controllo per le autorizzazioni del database e le autorizzazioni concedibili. Sotto la sezione Database, la sezione Autorizzazioni per le tabelle mostra le caselle di controllo per le autorizzazioni relative alle tabelle e alle autorizzazioni concedibili.

    In Autorizzazioni database, seleziona le autorizzazioni del database da concedere al principale sui database corrispondenti.

    In Autorizzazioni per le tabelle, seleziona le autorizzazioni per la tabella o la visualizzazione da concedere al principale per le tabelle e le viste corrispondenti.

    Puoi anche scegliere tra Select le Describe Drop autorizzazioni della tabella e applicare alle viste le autorizzazioni.

  5. Scegli Concessione.

AWS CLI

Puoi utilizzare il metodo AWS Command Line Interface (AWS CLI) e il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC) per concedere le autorizzazioni di Lake Formation su database, tabelle e colonne di Data Catalog.

Concessione delle autorizzazioni per il data lake utilizzando il metodo e il metodo LF-TBAC AWS CLI

  • Utilizza il comando grant-permissions.

    L'esempio seguente concede all'utente l'espressione LF-Tag "module=*" (tutti i valori della chiave LF-Tag). module datalake_user1 Quell'utente avrà l'CREATE_TABLEautorizzazione su tutti i database corrispondenti, ovvero i database a cui è stato assegnato il tag LF con la chiave, con qualsiasi valore. module

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["*"]}]}}'

    L'esempio successivo concede l'espressione LF-Tag "" all'utente. (level=director) AND (region=west OR region=south) datalake_user1 Quell'utente disporrà delle DROP autorizzazioni SELECTALTER, e con l'opzione grant sulle tabelle corrispondenti, ossia tabelle a cui sono stati assegnati sia (che). level=director region=west region=south

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" "DROP" --permissions-with-grant-option "SELECT" "ALTER" "DROP" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"TABLE","Expression": [{"TagKey": "level","TagValues": ["director"]},{"TagKey": "region","TagValues": ["west", "south"]}]}}'

    Il prossimo esempio concede l'espressione LF-tag "" all'account 1234-5678-9012. module=orders AWS L'amministratore del data lake di quell'account può quindi concedere l'espressione "" ai responsabili del proprio account. module=orders Tali responsabili avranno quindi l'CREATE_TABLEautorizzazione a far corrispondere i database di proprietà dell'account 1111-2222-3333 e condivisi con l'account 1234-5678-9012 utilizzando il metodo della risorsa denominata o il metodo LF-TBAC.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["orders"]}]}}'