Como gerenciar um data lake usando o controle de acesso baseado em tags do Lake Formation - AWS Lake Formation
Público-alvoPré-requisitosEtapa 1: Provisionar os recursosEtapa 2: registre sua localização de dados, crie uma ontologia LF-Tag e conceda permissõesEtapa 3: Criar bancos de dados do Lake FormationEtapa 4: Conceder permissões de dadosEtapa 5: Executar uma consulta no Amazon Athena para verificar as permissõesEtapa 6: limpar AWS os recursos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como gerenciar um data lake usando o controle de acesso baseado em tags do Lake Formation

Milhares de clientes estão criando lagos de dados em escala de petabytes. AWS Muitos desses clientes usam AWS Lake Formation para criar e compartilhar facilmente seus lagos de dados em toda a organização. À medida que o número de tabelas e usuários aumenta, administradores de dados procuram maneiras de gerenciar facilmente as permissões em data lakes em grande escala. O controle de acesso baseado em tags (LF-TBAC) do Lake Formation resolve esse problema permitindo que os administradores de dados criem tags LF (com base em sua classificação e ontologia de dados) que podem ser anexadas aos recursos.

LF- TBAC é uma estratégia de autorização que define permissões com base em atributos. No Lake Formation, esses atributos são chamados de tags do LF. Você pode anexar tags do LF aos recursos do catálogo de dados e às entidades principais do Lake Formation. Administradores do Data Lake podem atribuir e revogar permissões nos recursos do Lake Formation usando tags do LF. Para obter mais informações, consulte Controle de acesso baseado em tags do Lake Formation.

Este tutorial demonstra como criar uma política de controle de acesso baseada em tags do Lake Formation usando um conjunto de dados AWS público. Além disso, mostra como consultar tabelas, bancos de dados e colunas que têm políticas de acesso baseadas em tags do Lake Formation associadas a eles.

Você pode usar LF- TBAC para os seguintes casos de uso:

  • Você tem um grande número de tabelas e entidades principais às quais o administrador do data lake precisa conceder acesso

  • Você deseja classificar seus dados com base em uma ontologia e conceder permissões com base na classificação

  • O administrador do data lake deseja atribuir permissões dinamicamente, com acoplamento fraco

A seguir estão as etapas de alto nível para configurar permissões usando LF-: TBAC

  1. O administrador de dados define a ontologia da tag com duas tags do LF: Confidential e Sensitive. Os dados com Confidential=True têm controles de acesso mais rígidos. Os dados com Sensitive=True requerem uma análise específica do analista.

  2. O administrador de dados atribui diferentes níveis de permissão ao engenheiro de dados para criar tabelas com diferentes tags do LF.

  3. O engenheiro de dados cria dois bancos de dados: tag_database e col_tag_database. Todas as tabelas em tag_database são configuradas com Confidential=True. Todas as tabelas do col_tag_database são configuradas com Confidential=False. Algumas colunas da tabela col_tag_database estão marcadas com Sensitive=True para necessidades específicas de análise.

  4. O engenheiro de dados concede permissão de leitura ao analista para tabelas com condições de expressão específicas Confidential=True e Confidential=False, Sensitive=True.

  5. Com essa configuração, o analista de dados pode se concentrar em realizar análises com os dados certos.

Público-alvo

Este tutorial é destinado a administradores de dados, engenheiros de dados e analistas de dados. Quando se trata de gerenciar AWS Glue Data Catalog e administrar permissões no Lake Formation, os administradores de dados nas contas produtoras têm propriedade funcional com base nas funções que suportam e podem conceder acesso a vários consumidores, organizações externas e contas.

A tabela a seguir lista os perfis usados neste tutorial:

Perfil Descrição
Administrador de dados (administrador) O usuário lf-data-steward tem o seguinte acesso:

  • Acesso de leitura a todos os recursos do catálogo de dados

  • Pode criar tags do LF e associar-se ao perfil de engenheiro de dados para conceder permissão a outras entidades principais
Engenheiro de dados

O usuário lf-data-engineer tem o seguinte acesso:

  • Acesso completo de leitura, gravação e atualização a todos os recursos do catálogo de dados

  • Permissões de local de dados no data lake

  • Pode associar tags do LF e associar-se ao catálogo de dados

  • Pode anexar tags do LF aos recursos, fornecendo acesso às entidades principais com base em quaisquer políticas criadas por administradores de dados
Analista de dados O usuário lf-data-analyst tem o seguinte acesso:

  • Acesso refinado aos recursos compartilhados pelas políticas de acesso baseadas em tags do Lake Formation

Pré-requisitos

Antes de começar este tutorial, você deve ter um Conta da AWS que possa ser usado para entrar como usuário administrativo com as permissões corretas. Para obter mais informações, consulte Conclua AWS as tarefas de configuração inicial.

O tutorial pressupõe que você esteja familiarizado comIAM. Para obter informações sobreIAM, consulte o Guia IAM do usuário.

Etapa 1: Provisionar os recursos

Este tutorial inclui um AWS CloudFormation modelo para uma configuração rápida. É possível revisá-lo e personalizá-lo para atender às suas necessidades. O modelo cria três funções diferentes (listadas emPúblico-alvo) para realizar esse exercício e copia o nyc-taxi-data conjunto de dados para seu bucket local do Amazon S3.

  • Um bucket do Amazon S3

  • Configurações apropriadas do Lake Formation

  • Os EC2 recursos apropriados da Amazon

  • Três IAM funções com credenciais

Criar seus recursos

  1. Faça login no AWS CloudFormation console em https://console.aws.amazon.com/cloudformation na região Leste dos EUA (Norte da Virgínia).

  2. Selecione Iniciar Pilha.

  3. Escolha Próximo.

  4. Na seção Configuração do usuário, digite a senha para três perfis: DataStewardUserPassword, DataEngineerUserPassword e DataAnalystUserPassword.

  5. Analise os detalhes na página final e selecione Eu reconheço que isso AWS CloudFormation pode criar IAM recursos.

  6. Escolha Criar.

    A criação da pilha pode levar até cinco minutos.

nota

Depois de concluir o tutorial, talvez você queira excluir a pilha AWS CloudFormation para evitar que continuem incorrendo em cobranças. Verifique se os recursos foram excluídos com sucesso no status de eventos da pilha.

Etapa 2: registre sua localização de dados, crie uma ontologia LF-Tag e conceda permissões

Nesta etapa, o usuário administrador de dados define a ontologia de tags com duas tags LF: Confidential eSensitive, e fornece aos IAM diretores específicos a capacidade de anexar tags LF recém-criadas aos recursos.

Registre uma localização de dados e defina a ontologia LF-Tag

  1. Execute a primeira etapa como usuário administrador de dados (lf-data-steward) para verificar os dados no Amazon S3 e no catálogo de dados no Lake Formation.

    1. Faça login no console do Lake Formation da https://console.aws.amazon.com/lakeformation/mesma forma que lf-data-steward com a senha usada ao implantar a AWS CloudFormation pilha.

    2. No painel de navegação, em Permissões, selecione Perfis e tarefas administrativas.

    3. Escolha Adicionar na seção Administradores do Data Lake.

    4. Na página Adicionar administrador, para IAMusuários e funções, escolha o usuáriolf-data-steward.

    5. selecione Salvar para adicionar lf-data-steward como administrador do Lake Formation.

  2. Em seguida, atualize as configurações do Catálogo de Dados para usar a permissão do Lake Formation para controlar os recursos do catálogo em vez do controle de acesso IAM baseado.

    1. No painel de navegação, em Administração, selecione Configurações do catálogo de dados.

    2. Desmarque Usar somente controle de IAM acesso para novos bancos de dados.

    3. Desmarque Usar somente controle de IAM acesso para novas tabelas em novos bancos de dados.

    4. Clique em Salvar.

  3. Em seguida, registre o local dos dados para o data lake.

    1. No painel de navegação, em Administração em Locais de data lake.

    2. Selecione Registrar local.

    3. Na página Registrar localização, para o caminho do Amazon S3, insira. s3://lf-tagbased-demo-Account-ID

    4. Para a IAMfunção, deixe o valor padrão AWSServiceRoleForLakeFormationDataAccess como está.

    5. Escolha Lake Formation como modo de permissão.

    6. Selecione Registrar local.

  4. Em seguida, crie a ontologia definindo uma tag do LF.

    1. Em Permissões no painel de navegação, escolha LF-Tags e permissões. .

    2. Selecione Adicionar tag do LF.

    3. Em Chave, digite Confidential.

    4. Para Valores, adicione True e False.

    5. Selecione Adicionar tag do LF.

    6. Repita as etapas para criar a etiqueta LF Sensitive com o valor. True

    Você criou todas as etiquetas LF necessárias para este exercício.

Conceder permissões aos IAM usuários

  1. Em seguida, forneça aos IAM diretores específicos a capacidade de anexar etiquetas LF recém-criadas aos recursos.

    1. Em Permissões no painel de navegação, escolha LF-Tags e permissões.

    2. Na seção Permissões do LF-Tag, escolha Conceder permissões.

    3. Em Tipo de permissão, escolha permissões do par chave-valor da tag LF.

    4. Selecione IAMusuários e funções.

    5. Para IAMusuários e funções, pesquise e escolha a lf-data-engineer função.

    6. Na seção LF-Tags, adicione a chave Confidential com valores True eFalse, e a key Sensitive com valor. True

    7. Em Permissões, selecione Descrever e associar para permissões e permissões concedidas.

    8. Selecione Conceder.

  2. Em seguida, conceda permissões lf-data-engineer para criar bancos de dados em nosso catálogo de dados e no bucket subjacente do Amazon S3 criado por. AWS CloudFormation

    1. Em Administração no painel de navegação, escolha Funções e tarefas administrativas.

    2. Na seção Criadores de banco de dados, selecione Conceder.

    3. Para IAMusuários e funções, escolha a lf-data-engineer função.

    4. Para Permissões de catálogo, selecione Criar banco de dados.

    5. Selecione Conceder.

  3. Em seguida, conceda permissões no bucket do Amazon S3 do (s3://lf-tagbased-demo-Account-ID) ao usuário lf-data-engineer.

    1. No painel de navegação, em Permissões, selecione Locais de dados.

    2. Selecione Conceder.

    3. Selecione Minha conta.

    4. Para IAMusuários e funções, escolha a lf-data-engineer função.

    5. Para locais de armazenamento, insira o bucket do Amazon S3 criado pelo AWS CloudFormation modelo. (s3://lf-tagbased-demo-Account-ID)

    6. Selecione Conceder.

  4. Em seguida, lf-data-engineer conceda permissões concedidas aos recursos associados à expressão LF-tag. Confidential=True

    1. No painel de navegação, em Permissões, escolha Permissões do data lake.

    2. Selecione Conceder.

    3. Selecione IAMusuários e funções.

    4. Selecione o perfil de lf-data-engineer.

    5. Na seção LF-Tags ou recursos do catálogo, selecione Recursos correspondentes às LF-Tags.

    6. Escolha Adicionar par de valores-chave da etiqueta LF.

    7. Adicione a chave Confidential com os valores True.

    8. Na seção Permissões do banco de dados, selecione Descrever em Permissões de banco de dados e Permissões concedíveis.

    9. Na seção Permissões de tabela, selecione Descrever, Selecionar e Alterar para permissões de tabela e permissões concedidas.

    10. Selecione Conceder.

  5. Em seguida, lf-data-engineer conceda permissões concedidas aos recursos associados à expressão LF-tag. Confidential=False

    1. No painel de navegação, em Permissões, escolha Permissões do data lake.

    2. Selecione Conceder.

    3. Selecione IAMusuários e funções.

    4. Selecione o perfil de lf-data-engineer.

    5. Selecione Recursos correspondentes às tags do LF.

    6. Selecione Adicionar tag do LF.

    7. Adicione a chave Confidential com o valor False.

    8. Na seção Permissões do banco de dados, selecione Descrever em Permissões de banco de dados e Permissões concedíveis.

    9. Na seção Permissões de tabela e coluna, não selecione nada.

    10. Selecione Conceder.

  6. Em seguida, lf-data-engineer concedemos permissões concedidas aos recursos associados aos pares de valores-chave da tag LF e. Confidential=False Sensitive=True

    1. No painel de navegação, em Permissões, escolha Permissões de dados.

    2. Selecione Conceder.

    3. Selecione IAMusuários e funções.

    4. Selecione o perfil de lf-data-engineer.

    5. Na seção LF-Tags ou recursos do catálogo, selecione Recursos correspondentes às LF-Tags.

    6. Selecione Adicionar tag do LF.

    7. Adicione a chave Confidential com o valor False.

    8. Escolha Adicionar par de valores-chave da etiqueta LF.

    9. Adicione a chave Sensitive com o valor True.

    10. Na seção Permissões do banco de dados, selecione Descrever em Permissões de banco de dados e Permissões concedíveis.

    11. Na seção Permissões de tabela, selecione Descrever, Selecionar e Alterar para permissões de tabela e permissões concedidas.

    12. Selecione Conceder.

Etapa 3: Criar bancos de dados do Lake Formation

Nesta etapa, você cria dois bancos de dados e anexa tags LF aos bancos de dados e colunas específicas para fins de teste.

Crie seus bancos de dados e sua tabela para acesso em nível de banco de dados

  1. Primeiro, crie o banco de dadostag_database, a tabela source_data e anexe as tags LF apropriadas.

    1. No console do Lake Formation (https://console.aws.amazon.com/lakeformation/), em Catálogo de dados, escolha Bancos de dados.

    2. Selecione Criar banco de dados.

    3. Em Nome, digite tag_database.

    4. Em Localização, insira a localização do Amazon S3 criada pelo AWS CloudFormation modelo. (s3://lf-tagbased-demo-Account-ID/tag_database/)

    5. Desmarque Usar somente controle de IAM acesso para novas tabelas nesse banco de dados.

    6. Selecione Criar banco de dados.

  2. Em seguida, crie uma nova tabela dentro dela com tag_database.

    1. Na página Bancos de dados, selecione o banco de dados tag_database.

    2. Selecione Exibir tabelas e clique em Criar tabela.

    3. Em Nome, digite source_data.

    4. Em Banco de dados, selecione o banco de dados tag_database.

    5. Em Formato de tabela, escolha AWS Glue Tabela padrão.

    6. Em Dados localizados em, selecione Caminho especificado em minha conta.

    7. Em Incluir caminho, insira o caminho a ser tag_database criado pelo AWS CloudFormation modelo(s3://lf-tagbased-demoAccount-ID/tag_database/).

    8. Em Formato de dados, selecione CSV.

    9. Em Esquema de upload, insira a seguinte JSON matriz de estrutura de colunas para criar um esquema:

       [
               {
                    "Name": "vendorid",
                    "Type": "string"
               },
               {
                    "Name": "lpep_pickup_datetime",
                    "Type": "string"                    
               },
               {
                    "Name": "lpep_dropoff_datetime",
                    "Type": "string"  
              
               },
                  {
                    "Name": "store_and_fwd_flag",
                    "Type": "string"                                
               },
                  {
                    "Name": "ratecodeid",
                    "Type": "string"                   
                    
               },
                  {
                    "Name": "pulocationid",
                    "Type": "string"                   
                    
               },
               {
                    "Name": "dolocationid",
                    "Type": "string"                   
                    
               },
                  {
                    "Name": "passenger_count",
                    "Type": "string"                   
                    
               },
               {
                    "Name": "trip_distance",
                    "Type": "string"                    
                    
               }, 
                  {
                    "Name": "fare_amount",
                    "Type": "string"                   
                    
               },
               {
                    "Name": "extra",
                    "Type": "string"                   
                    
               },
                  {
                    "Name": "mta_tax",
                    "Type": "string"                    
                    
               },
               {
                    "Name": "tip_amount",
                    "Type": "string"                   
                    
               },
                  {
                    "Name": "tolls_amount",
                    "Type": "string"                   
                    
               },
               {
                    "Name": "ehail_fee",
                    "Type": "string"                    
                    
               }, 
               {
                    "Name": "improvement_surcharge",
                    "Type": "string"                   
                    
               },
               {
                    "Name": "total_amount",
                    "Type": "string"                    
                    
               },
               {
                    "Name": "payment_type",
                    "Type": "string"                    
                    
               }
 ]

    10. Selecione Carregar. Após fazer o upload do esquema, o esquema da tabela deve ter a aparência da seguinte captura de tela:

      Table schema with 18 columns showing column names and data types, all set to string.

    11. Selecione Enviar.

  3. Em seguida, anexe tags LF no nível do banco de dados.

    1. Na página Bancos de dados, localize e selecione tag_database.

    2. No menu Ações, escolha Editar tags LF.

    3. Escolha Atribuir nova tag do LF.

    4. Para Chaves atribuídas, escolha a Confidential etiqueta LF que você criou anteriormente.

    5. Em Valores, selecione True.

    6. Selecione Salvar.

    Isso conclui a atribuição da tag LF ao banco de dados tag_database.

Crie seu banco de dados e tabela para acesso em nível de coluna

Repita as etapas a seguir para criar o banco de dados col_tag_database e a tabela source_data_col_lvl e anexar tags LF no nível da coluna.

  1. Na página Bancos de dados, selecione Criar banco de dados.

  2. Em Nome, digite col_tag_database.

  3. Em Localização, insira a localização do Amazon S3 criada pelo AWS CloudFormation modelo. (s3://lf-tagbased-demo-Account-ID/col_tag_database/)

  4. Desmarque Usar somente controle de IAM acesso para novas tabelas nesse banco de dados.

  5. Selecione Criar banco de dados.

  6. Na página Bancos de dados, selecione seu novo banco de dados (col_tag_database).

  7. Escolha Exibir tabelas e clique em Criar tabela.

  8. Em Nome, digite source_data_col_lvl.

  9. Em Banco de dados, selecione seu novo banco de dados (col_tag_database).

  10. Em Formato de tabela, escolha AWS Glue Tabela padrão.

  11. Em Dados localizados em, selecione Caminho especificado em minha conta.

  12. Digite o caminho do Amazon S3 para col_tag_database (s3://lf-tagbased-demo-Account-ID/col_tag_database/).

  13. Em Formato de dados, selecione CSV.

  14. EmUpload schema, insira o seguinte esquemaJSON: 

    [
               {
                    "Name": "vendorid",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "lpep_pickup_datetime",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "lpep_dropoff_datetime",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "store_and_fwd_flag",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "ratecodeid",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "pulocationid",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "dolocationid",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "passenger_count",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "trip_distance",
                    "Type": "string"
                    
                    
               }, 
                  {
                    "Name": "fare_amount",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "extra",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "mta_tax",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "tip_amount",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "tolls_amount",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "ehail_fee",
                    "Type": "string"
                    
                    
               }, 
               {
                    "Name": "improvement_surcharge",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "total_amount",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "payment_type",
                    "Type": "string"
                    
                    
               }
]

  15. Selecione Upload. Após fazer o upload do esquema, o esquema da tabela deve ter a aparência da seguinte captura de tela.

    Table schema with 18 columns showing column names and data types, all set to string.

  16. Selecione Enviar para concluir a criação da tabela.

  17. Agora, associe a Sensitive=True tag LF às colunas e. vendorid fare_amount

    1. Na página Tabelas, selecione a tabela que você criou (source_data_col_lvl).

    2. No menu Ações, escolha Esquema.

    3. Selecione a coluna vendorid e escolha Editar tags LF.

    4. Em Chaves atribuídas, selecione Sensível.

    5. Em Valores, selecione True.

    6. Escolha Salvar.

  18. Em seguida, associe a Confidential=False etiqueta LF a. col_tag_database Isso é necessário lf-data-analyst para poder descrever o banco de dados col_tag_database quando conectado. Amazon Athena

    1. Na página Bancos de dados, localize e selecione col_tag_database.

    2. No menu Ações, escolha Editar tags LF.

    3. Escolha Atribuir nova tag do LF.

    4. Em Chaves atribuídas, escolha a Confidential etiqueta LF que você criou anteriormente.

    5. Em Valores, selecione False.

    6. Escolha Salvar.

Etapa 4: Conceder permissões de dados

Conceda permissões aos analistas de dados para o consumo dos bancos de dados tag_database e da tabela col_tag_database usando as tags do LF Confidential e Sensitive.

  1. Siga estas etapas para conceder permissões ao lf-data-analyst usuário nos objetos associados à tag LF Confidential=True (Database:tag_database) para ter Describe o banco de dados e a permissão nas tabelas. Select

    1. Faça login no console do Lake Formation em https://console.aws.amazon.com/lakeformation/comolf-data-engineer.

    2. Em Permissões, selecione Permissões do Data Lake.

    3. Selecione Conceder.

    4. Em Diretores, selecione IAMusuários e funções.

    5. Para IAMusuários e funções, escolhalf-data-analyst.

    6. Em Etiquetas LF ou recursos do catálogo, selecione Recursos correspondentes às etiquetas LF.

    7. Selecione Adicionar tag do LF.

    8. Para Chave, selecione Confidential.

    9. Em Valores, selecione True.

    10. Para Permissões de banco de dados, selecione Describe.

    11. Para Permissões de tabela, clique em Selecionar e Descrever.

    12. Selecione Conceder.

  2. Em seguida, repita as etapas para conceder permissões aos analistas de dados para a expressão LF-Tag for. Confidential=False Essa tag do LF é usada para descrever o col_tag_database e a tabela source_data_col_lvl quando conectada como lf-data-analyst no Amazon Athena.

    1. Faça login no console do Lake Formation em https://console.aws.amazon.com/lakeformation/comolf-data-engineer.

    2. Na página Bancos de dados, selecione o banco de dados col_tag_database.

    3. Selecione Ações e Concessão.

    4. Em Diretores, selecione IAMusuários e funções.

    5. Para IAMusuários e funções, escolhalf-data-analyst.

    6. Selecione Recursos correspondentes às etiquetas LF.

    7. Selecione Adicionar tag do LF.

    8. Para Chave, selecione Confidential.

    9. Para Valores, selecione False.

    10. Para Permissões de banco de dados, selecione Describe.

    11. Para Permissões de tabela, não selecione nada.

    12. Selecione Conceder.

  3. Em seguida, repita as etapas para conceder permissões aos analistas de dados para a expressão da tag LF para e. Confidential=False Sensitive=True Essa tag do LF é usada para descrever o col_tag_database e a tabela source_data_col_lvl (em nível de coluna) quando conectada como lf-data-analyst no Amazon Athena.

    1. Faça login no console do Lake Formation em https://console.aws.amazon.com/lakeformation/lf-data-engineer.

    2. Na página Bancos de dados, selecione o banco de dados col_tag_database.

    3. Selecione Ações e Concessão.

    4. Em Diretores, selecione IAMusuários e funções.

    5. Para IAMusuários e funções, escolhalf-data-analyst.

    6. Selecione Recursos correspondentes às etiquetas LF.

    7. Selecione Adicionar tag do LF.

    8. Para Chave, selecione Confidential.

    9. Para Valores, selecione False.

    10. Selecione Adicionar tag do LF.

    11. Para Chave, selecione Sensitive.

    12. Para Valores, selecione True.

    13. Para Permissões de banco de dados, selecione Describe.

    14. Para Permissões de tabela, selecione Select e Describe.

    15. Selecione Conceder.

Etapa 5: Executar uma consulta no Amazon Athena para verificar as permissões

Para essa etapa, use o Amazon Athena para executar consultas SELECT nas duas tabelas (source_data and source_data_col_lvl). Use o caminho do Amazon S3 como o local do resultado da consulta (s3://lf-tagbased-demo-Account-ID/athena-results/).

  1. Faça login no console Athena em https://console.aws.amazon.com/athena/. lf-data-analyst

  2. No editor de consultas do Athena, selecione tag_database no painel esquerdo.

  3. Selecione o ícone de opções de menu adicionais (três pontos verticais) ao lado de source_data e selecione Exibir tabela.

  4. Selecione Executar consulta.

    A consulta deve levar alguns minutos para ser executada. A consulta exibe todas as colunas na saída porque a tag do LF está associada no nível do banco de dados e a tabela source_data a herdou automaticamente LF-tag do banco de dados tag_database.

  5. Execute outra consulta usando col_tag_database e source_data_col_lvl.

    A segunda consulta retorna as duas colunas que foram marcadas como Non-Confidential e Sensitive.

  6. Você também pode verificar o comportamento da política de acesso baseada em tags do Lake Formation em colunas para as quais você não tem concessões de políticas. Quando uma coluna não marcada é selecionada na tabela source_data_col_lvl, o Athena retorna um erro. Por exemplo, você pode executar a seguinte consulta para escolher colunas não marcadas geolocationid:

    SELECT geolocationid FROM "col_tag_database"."source_data_col_lvl" limit 10;

Etapa 6: limpar AWS os recursos

Para evitar cobranças indesejadas Conta da AWS, você pode excluir os AWS recursos usados neste tutorial.

  1. Faça login no console do Lake Formation como lf-data-engineer e exclua os bancos de dados tag_database e col_tag_database.

  2. Em seguida, faça login como lf-data-steward e limpe todas as permissões de tags do LF, Permissões de dados e Permissões de localização de dados que foram concedidas acima e que foram concedidas a lf-data-engineer e lf-data-analyst..

  3. Faça login no console do Amazon S3 como proprietário da conta usando as IAM credenciais que você usou para implantar a pilha. AWS CloudFormation

  4. Exclua os seguintes buckets:

    • lf-tagbased-demo-accesslogs-acct-id

    • lf-tagbased-demo-acct-id

  5. Faça login no AWS CloudFormation console em https://console.aws.amazon.com/cloudformation e exclua a pilha que você criou. Aguarde até que o status da pilha mude para DELETE_COMPLETE.