As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Alterando as configurações padrão do seu data lake
Para manter a compatibilidade com versões anterioresAWS Glue, AWS Lake Formation tem as seguintes configurações iniciais de segurança:
-
A permissão
Superé concedida ao grupoIAMAllowedPrincipalsem todos os recursos existentes do catálogo de dados do AWS Glue. -
As configurações “Usar somente o controle de acesso ao IAM” estão habilitadas para novos recursos do catálogo de dados.
Essas configurações efetivamente fazem com que o acesso aos recursos do catálogo de dados e aos locais do Amazon S3 seja controlado exclusivamente por políticas AWS Identity and Access Management (IAM). As permissões individuais do Lake Formation não estão em vigor.
O grupo IAMAllowedPrincipals inclui todos os usuários e perfis do IAM que possuem permissão para acessar os recursos do seu catálogo de dados por meio de suas políticas do IAM. A permissão Super possibilita que uma entidade principal execute todas as operações suportadas do Lake Formation no banco de dados ou na tabela em que ela foi concedida.
Para alterar as configurações de segurança para que o acesso aos recursos do catálogo de dados (bancos de dados e tabelas) seja gerenciado pelas permissões do Lake Formation, faça o seguinte:
-
Altere as configurações de segurança padrão para novos recursos. Para obter instruções, consulte Altere o modelo de permissão padrão ou use o modo de acesso híbrido.
-
Altere as configurações dos recursos existentes do catálogo de dados. Para obter instruções, consulte Atualizando as permissões AWS Glue de dados para o modelo AWS Lake Formation.
Alterando as configurações de segurança padrão usando a operação da API do Lake Formation PutDataLakeSettings
Você também pode alterar as configurações de segurança padrão usando a operação da PutDataLakeSettingsAPI Lake Formation. Essa ação usa como argumentos um ID de catálogo opcional e uma DataLakeSettingsestrutura.
Para impor metadados e controle de acesso aos dados subjacentes pelo Lake Formation em novos bancos de dados e tabelas, codifique a estrutura DataLakeSettings da seguinte forma.
nota
<AccountID>Substitua por um ID de AWS conta válido e <Username>por um nome de usuário do IAM válido. Você pode especificar mais de um usuário como administrador de data lake.
{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>" } ], "CreateDatabaseDefaultPermissions": [], "CreateTableDefaultPermissions": [] } }
Você também pode codificar a estrutura da seguinte maneira. Omitir o parâmetro CreateDatabaseDefaultPermissions ou CreateTableDefaultPermissions é equivalente a passar uma lista vazia.
{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>" } ] } }
Essa ação revoga efetivamente todas as permissões do grupo IAMAllowedPrincipals Lake Formation em novos bancos de dados e tabelas. Ao criar um banco de dados, você pode substituir essa configuração.
Para aplicar metadados e controle de acesso aos dados subjacentes somente pelo IAM em novos bancos de dados e tabelas, codifique a estrutura DataLakeSettings da seguinte forma.
{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>" } ], "CreateDatabaseDefaultPermissions": [ { "Principal": { "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS" }, "Permissions": [ "ALL" ] } ], "CreateTableDefaultPermissions": [ { "Principal": { "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS" }, "Permissions": [ "ALL" ] } ] } }
Isso concede ao Lake Formation Super permissão para o grupo IAMAllowedPrincipals em novos bancos de dados e tabelas. Ao criar um banco de dados, você pode substituir essa configuração.
nota
Na estrutura DataLakeSettings anterior, o único valor permitido para DataLakePrincipalIdentifier é IAM_ALLOWED_PRINCIPALS e o único valor permitido para Permissions é ALL.
