Visão geral das permissões do Lake Formation - AWS Lake Formation

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visão geral das permissões do Lake Formation

Há dois tipos principais de permissões no AWS Lake Formation:

  • Acesso aos metadados – Permissões nos recursos do catálogo de dados (Permissões do catálogo de dados).

    Com essas permissões, as entidades principais podem criar, ler, atualizar e excluir bancos de dados e tabelas de metadados no catálogo de dados.

  • Acesso aos dados subjacentes — Permissões em locais no Amazon Simple Storage Service (Amazon S3) (permissões de acesso a dados e permissões de localização de dados).

    • As permissões do data lake possibilitam que as entidades principais leiam e gravem dados em locais subjacentes do Amazon S3 – dados apontados pelos recursos do catálogo de dados.

    • Com as permissões de localização de dados, as entidades principais podem criar e alterar bancos de dados e tabelas de metadados que apontam para os locais específicos do Amazon S3.

Para ambas as áreas, o Lake Formation usa uma combinação de permissões e permissões do Lake Formation AWS Identity and Access Management (IAM). O modelo de permissões do IAM consiste em políticas do IAM. O modelo de permissões do Lake Formation é implementado como comandos CONCEDER/REVOGAR no estilo DBMS, como Grant SELECT on tableName to userName.

Quando uma entidade principal faz uma solicitação para acessar os recursos do catálogo de dados ou os dados subjacentes, para que a solicitação seja bem-sucedida, ela deve passar pelas verificações de permissão do IAM e do Lake Formation.

A solicitação de um solicitante deve passar por duas “portas” para acessar os recursos: permissões do Lake Formation e permissões do IAM.

As permissões do Lake Formation controlam o acesso aos recursos do catálogo de dados, aos locais do Amazon S3 e aos dados subjacentes nesses locais. As permissões do IAM controlam o acesso ao Lake Formation, APIs AWS Glue e recursos. Portanto, embora você possa ter a permissão do Lake Formation para criar uma tabela de metadados no catálogo de dados (CREATE_TABLE), sua operação falhará se você não tiver a permissão do IAM na API glue:CreateTable.​ (Por que uma permissão do glue:? Porque o Lake Formation usa o catálogo de dados do AWS Glue.)

nota

As permissões do Lake Formation se aplicam somente na região em que foram concedidas.

AWS Lake Formation exige que cada diretor (usuário ou função) seja autorizado a realizar ações nos recursos gerenciados pelo Lake Formation. Uma entidade principal recebe as autorizações necessárias do administrador do data lake ou de outra entidade principal com as permissões para conceder as permissões do Lake Formation.

Ao conceder uma permissão de Lake Formation a uma entidade principal, você pode, opcionalmente, conceder a capacidade de passar essa permissão para outra entidade principal.

Você pode usar a API do Lake Formation, a AWS Command Line Interface (AWS CLI) ou as páginas Permissões de dados e Localizações de dados do console do Lake Formation para conceder e revogar as permissões do Lake Formation.