Scenario di esempio di autorizzazioni

Lo scenario seguente aiuta a dimostrare come è possibile impostare le autorizzazioni per proteggere l'accesso ai dati in. AWS Lake Formation

Shirley è un'amministratore di dati. Vuole creare un data lake per la sua azienda,. AnyCompany Attualmente, tutti i dati sono archiviati in Amazon S3. John è un responsabile marketing e deve accedere per iscritto alle informazioni sugli acquisti dei clienti (contenute ins3://customerPurchases). Un analista di marketing, Diego, si unisce a John quest'estate. John deve poter concedere a Diego l'accesso per eseguire interrogazioni sui dati senza coinvolgere Shirley.

Mateo, del reparto finanziario, ha bisogno di accedere ai dati contabili interrogativi (ad esempio,). s3://transactions Vuole interrogare i dati delle transazioni nelle tabelle di un database (Finance_DB) utilizzato dal team finanziario. Il suo manager, Arnav, può dargli accesso a. Finance_DB Sebbene non dovrebbe essere in grado di modificare i dati contabili, ha bisogno della capacità di convertire i dati in un formato (schema) adatto alla previsione. Questi dati verranno archiviati in un bucket separato (s3://financeForecasts) che potrà modificare.

Per riassumere:

Shirley è l'amministratore del data lake.
John richiede CREATE_DATABASE CREATE_TABLE l'autorizzazione per creare nuovi database e tabelle nel Data Catalog.
John richiede SELECT anche le autorizzazioni e DELETE le autorizzazioni per le tabelle che crea. INSERT
Diego richiede SELECT l'autorizzazione sul tavolo per eseguire le interrogazioni.

I dipendenti di AnyCompany eseguono le seguenti azioni per impostare le autorizzazioni. Le API operazioni illustrate in questo scenario mostrano una sintassi semplificata per motivi di chiarezza.

Shirley registra il percorso Amazon S3 contenente le informazioni sugli acquisti dei clienti con Lake Formation.
```
RegisterResource(ResourcePath("s3://customerPurchases"), false, Role_ARN )
```
Shirley concede a John l'accesso al percorso Amazon S3 contenente le informazioni di acquisto dei clienti.
```
GrantPermissions(John, S3Location("s3://customerPurchases"), [DATA_LOCATION_ACCESS]) )
```
Shirley concede a John il permesso di creare database.
```
GrantPermissions(John, catalog, [CREATE_DATABASE]) 
```
John crea il database. John_DB John ha automaticamente CREATE_TABLE l'autorizzazione per quel database perché lo ha creato.
```
CreateDatabase(John_DB)
```
John crea la tabella John_Table che punta a. s3://customerPurchases Poiché ha creato la tabella, dispone di tutte le autorizzazioni e può concedere le autorizzazioni necessarie.
```
CreateTable(John_DB, John_Table)
```
John consente al suo analista, Diego, di accedere alla tabella. John_Table
```
 GrantPermissions(Diego, John_Table, [SELECT])
```
John consente al suo analista, Diego, di accedere a. s3://customerPurchases/London/ Poiché Shirley è già registratas3://customerPurchases, le sue sottocartelle sono registrate con Lake Formation.
```
 GrantDataLakePrivileges( 123456789012/datalake, Diego, [DATA_LOCATION_ACCESS], [], S3Location("s3://customerPurchases/London/") )
```

John consente al suo analista, Diego, di creare tabelle nel database. John_DB


 GrantDataLakePrivileges( 123456789012/datalake, Diego, John_DB, [CREATE_TABLE], [] )

Diego crea una tabella John_DB in s3://customerPurchases/London/ e ottiene automaticamenteALTER,, DROP SELECTINSERT, e le DELETE autorizzazioni.
```
 CreateTable( 123456789012/datalake, John_DB, Diego_Table )
```

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Concessione delle autorizzazioni per il data lake utilizzando il metodo LF- TBAC

Filtraggio dei dati e sicurezza a livello di cella