Gerenciar tags do LF para controle de acesso a metadados - AWS Lake Formation
Ciclo de vida de uma tag do LFComparação do controle de acesso baseado em tags do Lake Formation com o controle de acesso baseado IAM em atributos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciar tags do LF para controle de acesso a metadados

Para usar o método de controle de acesso baseado em tags (LF-TBAC) do Lake Formation para proteger os recursos do Catálogo de Dados (bancos de dados, tabelas e colunas), você cria tags LF, as atribui aos recursos e concede permissões de tag LF aos diretores.

Antes de atribuir tags do LF aos recursos do catálogo de Dados ou conceder permissões a entidades principais, você precisa definir tags do LF. Somente um administrador de data lake ou uma entidade principal com permissões de criador de tags do LF pode criar tags do LF.

Criadores de tags do LF

O criador de tags do LF é uma entidade principal não administradora que tem permissões para criar e gerenciar tags do LF. Os administradores do Data Lake podem adicionar criadores de tags LF usando o console do Lake Formation ou. CLI Os criadores de tags do LF têm permissões implícitas do Lake Formation para atualizar e excluir tags do LF, atribuir tags do LF a recursos e conceder permissões de tag do LF e permissões de valor de tag do LF a outras entidades principais.

Com as funções de criador de tags do LF, os administradores do data lake podem delegar tarefas de gerenciamento de tags, como criar e atualizar valores e chaves de tags, a entidades principais que não são administradoras. Os administradores do Data Lake também podem conceder aos criadores de tag do LF permissões Create LF-Tag concedíveis. Em seguida, o criador da tag do LF pode conceder a permissão para criar tags do LF a outras entidades principais.

Você pode conceder dois tipos de permissões nas tags do LF:

  • Permissões de tag do LF: Create LF-Tag, Alter e Drop. Essas permissões são necessárias para criar, atualizar e excluir tags do LF.

    Os administradores do data lake e os criadores de tags do LF têm implicitamente essas permissões nas tags do LF que criam e podem concedê-las explicitamente às entidades principais para gerenciar tags no data lake.

  • Permissões do par chave-valor de tag do LF: Assign, Describe e Grant with LF-Tag expressions. Essas permissões são necessárias para atribuir tags do LF a bancos de dados, tabelas e colunas do catálogo de dados e para conceder permissões sobre os recursos a entidades principais usando o controle de acesso baseado em tags do Lake Formation. Os criadores de tags do LF recebem implicitamente essas permissões ao criar tags do LF.

Depois de receber a permissão Create LF-Tag e criar tags do LF com sucesso, o criador de tags do LF pode atribuir tags do LF a recursos e conceder permissões de tag do LF (Create LF-Tag, Alter e Drop) a outras entidades principais não administrativas para gerenciar tags no data lake. Você pode gerenciar LF-Tags usando o console Lake FormationAPI, o ou o AWS Command Line Interface ()AWS CLI.

nota

Os administradores do Data Lake têm permissões implícitas do Lake Formation para criar, atualizar e excluir tags do LF, atribuir tags do LF a recursos e conceder permissões de tags do LF às entidades principais.

Para conhecer as práticas recomendadas e as considerações, consulte Considerações e práticas recomendadas de controle de acesso com base em tags do Lake Formation.

Tópicos
Consulte também

Ciclo de vida de uma tag do LF

  1. O criador da tag do LF, Michael, cria uma tag do LF module=Customers.

  2. Michael concede Associate na tag do LF ao engenheiro de dados Eduardo. Conceder Associate concede implicitamente Describe.

  3. Michael concede Super na tabela Custs a Eduardo com a opção de concessão, para que Eduardo possa atribuir tags do LF à tabela. Para obter mais informações, consulte Atribuição de tags do LF aos recursos do catálogo de dados.

  4. Eduardo atribui a tag do LF module=customers à tabela Custs.

  5. Michael faz a seguinte concessão à engenheira de dados Sandra (em pseudocódigo).

    GRANT (SELECT, INSERT ON TABLES) ON TAGS module=customers TO Sandra WITH GRANT OPTION

  6. Sandra faz a seguinte concessão à analista de dados Maria.

    GRANT (SELECT ON TABLES) ON TAGS module=customers TO Maria

    Agora, Maria pode executar consultas na tabela Custs.

Consulte também

Comparação do controle de acesso baseado em tags do Lake Formation com o controle de acesso baseado IAM em atributos

O controle de acesso baseado em atributos (ABAC) é uma estratégia de autorização que define permissões com base em atributos. Em AWS, esses atributos são chamados de tags. Você pode anexar tags aos IAM recursos, incluindo IAM entidades (usuários ou funções) e aos AWS recursos. Você pode criar uma única ABAC política ou um pequeno conjunto de políticas para seus IAM diretores. Essas ABAC políticas podem ser projetadas para permitir operações quando a tag do diretor corresponde à tag do recurso. ABACé útil em ambientes que estão crescendo rapidamente e ajuda em situações em que o gerenciamento de políticas se torna complicado.

As equipes de segurança e governança da nuvem usam IAM para definir políticas de acesso e permissões de segurança para todos os recursos, incluindo buckets do Amazon S3, EC2 instâncias da Amazon e quaisquer recursos que você possa consultar com um. ARN As IAM políticas definem permissões amplas (gerais) para seus recursos de data lake, por exemplo, para permitir ou negar acesso no nível de bucket, prefixo ou banco de dados do Amazon S3. Para obter mais informações sobre IAMABAC, consulte ABACPara que serve AWS? no Guia do IAM usuário.

Por exemplo, é possível criar três funções com a chave de tag project-access. Defina o valor da tag da primeira função como Dev, a segunda como Marketing e a terceira como Support. Atribua tags com o valor apropriado aos recursos. Depois disso, é possível usar uma única política que permitirá o acesso quando a função e o recurso estiverem marcados com o mesmo valor para project-access.

As equipes de governança de dados usam o Lake Formation para definir permissões refinadas para recursos específicos do data lake. Tags do LF são atribuídas a recursos do catálogo de dados (bancos de dados, tabelas e colunas) e são concedidas a entidades principais. Uma entidade principal com tags do LF que correspondem às tags do LF de um recurso pode acessar esse recurso. As permissões do Lake Formation são secundárias às IAM permissões. Por exemplo, se IAM as permissões não permitirem que um usuário acesse um data lake, o Lake Formation não concederá acesso a nenhum recurso dentro desse data lake para esse usuário, mesmo que o principal e o recurso tenham tags LF correspondentes.

O controle de acesso baseado em tags (LF-TBAC) do Lake Formation funciona com ele IAM ABAC para fornecer níveis adicionais de permissões para seus dados e recursos do Lake Formation.

  • TBACAs permissões do Lake Formation aumentam com a inovação. Não é mais necessário que um administrador atualize as políticas existentes para permitir o acesso a novos recursos. Por exemplo, suponha que você use uma IAM ABAC estratégia com a project-access tag para fornecer acesso a bancos de dados específicos dentro do Lake Formation. Usando LF-TBAC, a tag LF Project=SuperApp é atribuída a tabelas ou colunas específicas, e a mesma tag LF é concedida a um desenvolvedor para esse projeto. Por meio IAM disso, o desenvolvedor pode acessar o banco de dados, e TBAC as permissões LF concedem ao desenvolvedor acesso adicional a tabelas ou colunas específicas dentro das tabelas. Se uma nova tabela for adicionada ao projeto, o administrador do Lake Formation só precisará atribuir a tag à nova tabela para que o desenvolvedor tenha acesso a ela.

  • Lake Formation TBAC exige menos IAM políticas. Como você usa IAM políticas para conceder acesso de alto nível aos recursos do Lake Formation e Lake Formation TBAC para gerenciar um acesso mais preciso aos dados, você cria menos IAM políticas.

  • Usando o Lake FormationTBAC, as equipes podem mudar e crescer rapidamente. Isso ocorre porque as permissões para novos recursos são concedidas automaticamente com base em atributos. Por exemplo, se um novo desenvolvedor ingressar no projeto, é fácil conceder acesso a esse desenvolvedor associando a IAM função ao usuário e atribuindo as tags LF necessárias ao usuário. Você não precisa alterar a IAM política para apoiar um novo projeto ou criar novas etiquetas LF.

  • Permissões mais refinadas são possíveis usando o Lake Formation. TBAC IAMas políticas concedem acesso aos recursos de nível superior, como bancos de dados ou tabelas do Catálogo de Dados. Usando o Lake Formation TBAC, você pode conceder acesso a tabelas ou colunas específicas que contêm valores de dados específicos.

nota

IAMas tags não são iguais às tags LF. Essas tags não são intercambiáveis. As tags LF são usadas para conceder permissões ao Lake Formation e as IAM tags são usadas para definir IAM políticas.