使用基於標籤的訪問控制共享數據 - AWS Lake Formation

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用基於標籤的訪問控制共享數據

生產者/授權人帳戶需要設定

  1. 定義 LF 標籤。如需建立 LF 標籤的指示,請參閱。創建 LF-標籤

  2. 將 LF 標籤指派給目標資源。如需詳細資訊,請參閱 將 LF 標籤指定給資料目錄資源

  3. 將 LF 標籤權限授予外部帳戶。如需詳細資訊,請參閱 使用控制台授予 LF 標籤權限

    此時,取用者資料湖系統管理員應該能夠在 [權限]、[系統管理角色和工作 LF-tag] 下,找到透過受者帳戶 L ake Formation 主控台共用的原則標記。

  4. 將資料權限授與外部/受權人帳戶。

    1. 在功能窗格的 [限] 下的 [資料湖權限] 下,選擇 [授與]。

    2. 對於主體,請選擇外部帳戶,然後輸入主體的目標 AWS 帳戶 ID 或 IAM 角色,或輸入主體 (主體 ARN) 的 Amazon 資源名稱 (ARN)。

    3. 對於 LF 標籤或目錄資源,請選擇與消費者帳戶共用的 LF 標籤的索引鍵和 (索引鍵Confidentiality和值)。 public

    4. 對於「權限」,在「由 LF 標籤匹配的資源(推薦)」下選擇「添加 LF 標籤」。

    5. 選取要與受權者帳戶 (索引鍵public) 共用之標籤的索引鍵Confidentiality和值。

    6. 對於資料庫權限,請選取 [資料庫權限] 下的 [說明] 以授與資料庫層級的存取權限

    7. 消費者資料湖系統管理員應該能夠在 Lake Formation 主控台 https://console.aws.amazon.com/lakeformation/ 的「權限」、「系統管理角色和工作」、「LF- tag」下,找到透過消費者帳戶共用的原則標籤。

    8. 選取 [可授與權限] 下的 [說明],讓消費者帳戶可以將資料庫層級權限授與其使用者。

      由於資料湖管理員必須將共用資源的權限授與受權者帳戶中的主體,因此必須始終以授與選項授與跨帳戶權限授與。

      注意

      收到直接跨帳戶授權的主參與者不會有「可授與」權限選項

    9. 對於資料表和資料行權限,請選表格權限下的選取說明

    10. 取 [可授與權限] 下的 [選取說明]。

    11. 選擇 Grant (授予)。

在收款/受授權人帳戶上設置

  1. 當您與其他帳號共用資源時,該資源仍屬於生產者帳號,而且在 Athena 主控台中看不到。若要在 Athena 主控台中顯示資源,您需要建立指向共用資源的資源連結。如需建立資源連結的指示,請參閱建立共用資料目錄表格的資源連結建立共用資料目錄資料庫的資源連結

  2. 您需要在使用者帳戶中建立一組個別的 LF 標籤,才能在共用資源連結時使用以 LF 標籤為基礎的存取控制。創建所需的 LF 標籤並將其分配給共享數據庫/表和資源鏈接。

  3. 將這些 LF 標籤的許可授與受權者帳戶中的 IAM 主體。