设置混合访问模式 - 常见场景
与使用 Lake Formation 权限一样,通常可以在两种类型的场景下使用混合访问模式来管理数据访问权限:为一个 AWS 账户中的主体提供访问权限,并为外部 AWS 账户或主体提供访问权限。
本节提供有关在以下场景下设置混合访问模式的说明:
在 AWS 账户中使用混合访问模式管理权限
将 AWS Glue 资源转换为混合资源 – 您目前正使用适用于 Amazon S3 和 AWS Glue 的 IAM 权限为账户中所有主体提供对数据库中表的访问权限,但想要采用 Lake Formation 以增量方式管理权限。
将 Lake Formation 资源转换为混合资源 – 您目前正使用 Lake Formation 管理您账户中的所有主体对数据库中表的访问,但只想使用 Lake Formation 管理特定主体的访问。您想要使用适用于 AWS Glue 和 Amazon S3 的 IAM 权限来为新主体提供对相同数据库和表的访问权限。
跨 AWS 账户使用混合访问模式管理权限
使用混合访问模式共享 AWS Glue 资源 – 您目前未在使用 Lake Formation 管理对表的权限,但想要应用 Lake Formation 权限为其它账户中的主体提供访问权限。
使用混合访问模式共享 Lake Formation 资源 – 您正在使用 Lake Formation 管理对表的访问权限,但想要使用适用于 AWS Glue 和 Amazon S3 的 IAM 权限为其它账户中的主体提供对相同数据库和表的访问权限。
设置混合访问模式 – 主要步骤
-
通过选择混合访问模式,在 Lake Formation 中注册 Amazon S3 数据位置。
-
主体必须拥有对数据湖位置的
DATA_LOCATION权限才能创建指向该位置的数据目录表或数据库。 -
将跨账户版本设置设置为版本 4。
向特定 IAM 用户或角色授予对数据库和表的精细权限。同时,确保为
IAMAllowedPrincipals组设置对数据库以及数据库中所有或部分表的Super或All权限。-
选择主体和资源。账户中的其他主体可以继续使用适用于 AWS Glue 和 Amazon S3 操作的 IAM 权限策略访问数据库和表。
-
(可选)为选择使用 Lake Formation 权限的主体清除适用于 Amazon S3 的 IAM 权限策略。
