本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
设置混合访问模式 - 常见场景
与 Lake Formation 权限一样,您通常有两种类型的场景可以使用混合访问模式来管理数据访问权限:在一个场景中提供对委托人的访问权限, AWS 账户 以及提供对外部 AWS 账户 或委托人的访问权限。
本节提供有关在以下场景下设置混合访问模式的说明:
在一个混合访问模式下管理权限 AWS 账户
将 AWS Glue 资源转换为混合资源 — 您目前正在使用 Amazon S3 权限为账户中的所有委托人提供对数据库中表的访问IAM权限, AWS Glue 但希望采用 Lake Formation 来逐步管理权限。
将 Lake Formation 资源转换为混合资源 — 您目前正在使用 Lake Formation 来管理账户中所有委托人对数据库中表的访问权限,但只想对特定的委托人使用 Lake Formation。您想通过对相同数据库和表使用 AWS Glue 和 Amazon S3 的IAM权限来提供对新委托人的访问权限。
在混合访问模式下管理跨 AWS 账户的权限
使用混合访问模式共享 AWS Glue 资源— 你目前没有使用 Lake Formation 来管理表格的权限,但想应用 Lake Formation 权限为其他账户的委托人提供访问权限。
使用混合访问模式共享 Lake Formation 资源— 您正在使用 Lake Formation 管理表的访问权限,但希望通过对同一数据库和表使用 AWS Glue 和 Amazon S3 的IAM权限,为其他账户中的委托人提供访问权限。
设置混合访问模式 – 主要步骤
-
通过选择混合访问模式,在 Lake Formation 中注册 Amazon S3 数据位置。
-
主体必须拥有对数据湖位置的
DATA_LOCATION
权限才能创建指向该位置的数据目录表或数据库。 -
将跨账户版本设置设置为版本 4。
向特定IAM用户或角色授予对数据库和表的精细权限。同时,确保为
IAMAllowedPrincipals
组设置对数据库以及数据库中所有或部分表的Super
或All
权限。-
选择主体和资源。账户中的其他委托人可以使用IAM权限策略和 Amazon S3 操作继续访问数据库 AWS Glue 和表。
-
(可选)为选择使用 Lake Formation IAM 权限的委托人清理 Amazon S3 的权限策略。