Para manter a compatibilidade com versões anteriores do AWS Glue, o AWS Lake Formation tem as seguintes configurações iniciais de segurança:
-
A permissão
Super
é concedida ao grupoIAMAllowedPrincipals
em todos os recursos existentes do catálogo de dados do AWS Glue. -
As configurações “Usar somente o controle de acesso ao IAM” estão habilitadas para novos recursos do catálogo de dados.
Essas configurações efetivamente fazem com que o acesso aos recursos do catálogo de dados e aos locais do Amazon S3 seja controlado exclusivamente por políticas do AWS Identity and Access Management (IAM). As permissões individuais do Lake Formation não estão em vigor.
O grupo IAMAllowedPrincipals
inclui todos os usuários e perfis do IAM que possuem permissão para acessar os recursos do seu catálogo de dados por meio de suas políticas do IAM. A permissão Super
possibilita que uma entidade principal execute todas as operações suportadas do Lake Formation no banco de dados ou na tabela em que ela foi concedida.
Para alterar as configurações de segurança para que o acesso aos recursos do catálogo de dados (bancos de dados e tabelas) seja gerenciado pelas permissões do Lake Formation, faça o seguinte:
-
Altere as configurações de segurança padrão para novos recursos. Para obter instruções, consulte Alterar o modelo de permissão padrão ou usar o modo de acesso híbrido.
-
Altere as configurações dos recursos existentes do catálogo de dados. Para obter instruções, consulte Atualizar as permissões AWS Glue de dados para o modelo AWS Lake Formation.
Alterando as configurações de segurança padrão usando a operação da API do Lake Formation PutDataLakeSettings
Você também pode alterar as configurações de segurança padrão usando a operação da API do Lake Formation PutDataLakeSettings. Essa ação usa como argumentos um ID de catálogo opcional e uma estrutura DataLakeSettings.
Para impor metadados e controle de acesso aos dados subjacentes pelo Lake Formation em novos bancos de dados e tabelas, codifique a estrutura DataLakeSettings
da seguinte forma.
nota
Substitua <AccountID>
por um ID de conta válido AWS e <Username>
por um nome de usuário válido do IAM. Você pode especificar mais de um usuário como administrador de data lake.
{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::
<AccountId>
:user/<Username>
" } ], "CreateDatabaseDefaultPermissions": [], "CreateTableDefaultPermissions": [] } }
Você também pode codificar a estrutura da seguinte maneira. Omitir o parâmetro CreateDatabaseDefaultPermissions
ou CreateTableDefaultPermissions
é equivalente a passar uma lista vazia.
{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::
<AccountId>
:user/<Username>
" } ] } }
Essa ação revoga efetivamente todas as permissões do grupo IAMAllowedPrincipals
Lake Formation em novos bancos de dados e tabelas. Ao criar um banco de dados, você pode substituir essa configuração.
Para aplicar metadados e controle de acesso aos dados subjacentes somente pelo IAM em novos bancos de dados e tabelas, codifique a estrutura DataLakeSettings
da seguinte forma.
{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::
<AccountId>
:user/<Username>
" } ], "CreateDatabaseDefaultPermissions": [ { "Principal": { "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS" }, "Permissions": [ "ALL" ] } ], "CreateTableDefaultPermissions": [ { "Principal": { "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS" }, "Permissions": [ "ALL" ] } ] } }
Isso concede ao Lake Formation Super
permissão para o grupo IAMAllowedPrincipals
em novos bancos de dados e tabelas. Ao criar um banco de dados, você pode substituir essa configuração.
nota
Na estrutura DataLakeSettings
anterior, o único valor permitido para DataLakePrincipalIdentifier
é IAM_ALLOWED_PRINCIPALS
e o único valor permitido para Permissions
é ALL
.