Panoramica delle autorizzazioni di Lake Formation - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Panoramica delle autorizzazioni di Lake Formation

Esistono due tipi principali di autorizzazioni in: AWS Lake Formation

  • Accesso ai metadati: autorizzazioni per le risorse del catalogo dati (autorizzazioni del catalogo dati).

    Queste autorizzazioni consentono ai responsabili di creare, leggere, aggiornare ed eliminare database e tabelle di metadati nel Catalogo dati.

  • Accesso ai dati di base: autorizzazioni su sedi in Amazon Simple Storage Service (Amazon S3) (autorizzazioni di accesso ai dati e autorizzazioni di localizzazione dei dati).

    • Le autorizzazioni Data Lake consentono ai responsabili di leggere e scrivere dati nelle posizioni Amazon S3 sottostanti, dati a cui fanno riferimento le risorse del Data Catalog.

    • Le autorizzazioni di localizzazione dei dati consentono ai responsabili di creare e modificare database e tabelle di metadati che puntano a posizioni Amazon S3 specifiche.

Per entrambe le aree, Lake Formation utilizza una combinazione di autorizzazioni Lake Formation e autorizzazioni AWS Identity and Access Management (IAM). Il modello di autorizzazioni IAM è costituito da politiche IAM. Il modello di permessi di Lake Formation è implementato come comandi GRANT/REVOKE in stile DBMS, come. Grant SELECT on tableName to userName

Quando un principale effettua una richiesta di accesso alle risorse del Data Catalog o ai dati sottostanti, affinché la richiesta abbia esito positivo, deve superare i controlli di autorizzazione sia di IAM che di Lake Formation.

La richiesta di un richiedente deve passare attraverso due «porte» per accedere alle risorse: le autorizzazioni Lake Formation e le autorizzazioni IAM.

Le autorizzazioni di Lake Formation controllano l'accesso alle risorse di Data Catalog, alle sedi Amazon S3 e ai dati sottostanti in tali sedi. Le autorizzazioni IAM controllano l'accesso a Lake Formation, alle AWS Glue API e alle risorse. Quindi, anche se potresti avere l'autorizzazione Lake Formation per creare una tabella di metadati nel Data Catalog (CREATE_TABLE), l'operazione fallisce se non disponi dell'autorizzazione IAM sull'glue:CreateTableAPI. (Perché un'glue:autorizzazione? Perché Lake Formation utilizza il AWS Glue Data Catalog.)

Nota

Le autorizzazioni di Lake Formation si applicano solo nella regione in cui sono state concesse.

AWS Lake Formation richiede che ogni principale (utente o ruolo) sia autorizzato a eseguire azioni sulle risorse gestite da Lake Formation. A un principale vengono concesse le autorizzazioni necessarie dall'amministratore del data lake o da un altro principale con le autorizzazioni per concedere le autorizzazioni di Lake Formation.

Quando concedi l'autorizzazione di Lake Formation a un preside, puoi facoltativamente concedere la possibilità di passare tale autorizzazione a un altro preside.

Puoi utilizzare l'API Lake Formation, il AWS Command Line Interface (AWS CLI) o le pagine Data permissions e Data locations della console Lake Formation per concedere e revocare le autorizzazioni Lake Formation.