本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
LF-Tag 表達式是由一或多個 LF-Tag (鍵/值對) 組成的邏輯表達式,用於授予 AWS Glue Data Catalog 資源的許可。LF-Tag 表達式可讓您定義規則,根據其中繼資料標籤來管理對資料資源的存取。您可以儲存這些表達式,並在多個許可授予中重複使用這些表達式,確保一致性,並使其能直接管理標籤本體隨時間的變化。
在指定的 LF-Tag 表達式中,標籤索引鍵是使用 AND 操作組合,而值是使用 OR 操作組合。例如,標籤表達式content_type:Sales AND location:US
代表與美國銷售資料相關的資源。
您可以在 中建立最多 1000 個 LF-Tag 表達式 AWS 帳戶。這些表達式提供彈性且可擴展的方式,以根據中繼資料標籤管理許可,確保只有授權的使用者或應用程式才能根據定義的標籤規則存取特定資料資源。
LF-Tag 表達式提供下列優點:
-
可重複使用 – 透過定義和儲存 LF-Tag 表達式,您不再需要在將許可指派給其他資源或主體時手動複寫相同的表達式。
-
一致性 – 在多個許可授予之間重複使用 LF-Tag 表達式可確保授予和管理許可的方式一致。
-
標籤本體管理 – LF-Tag 表達式有助於管理標籤本體隨時間的變化,因為您可以更新儲存的表達式,而不是修改個別許可授予。
如需標籤型存取控制的詳細資訊,請參閱 Lake Formation 標籤型存取控制。
LF-Tag 表達式建立者
LF-Tag 表達式建立者是具有建立和管理 LF-Tag 表達式許可的委託人。資料湖管理員可以使用 Lake Formation 主控台、CLI、API 或 SDK 新增 LF-Tag 表達式建立者。LF-Tag 表達式建立者具有隱含 Lake Formation 許可,可建立、更新和刪除 LF-Tag 表達式,以及將 LF-Tag 表達式許可授予其他主體。
非資料湖管理員的 LF-Tag 表達式建立者只會收到其建立的表達式的隱含 Alter
Describe
、、 Drop
和 Grant with LF-Tag expression
許可。
資料湖管理員也可以授予 LF-Tag 表達式建立者可授予的Create LF-Tag expression
許可。然後,LF-Tag 表達式建立器可以將建立 LF-Tag 表達式的許可授予其他主體。
建立 LF-Tag 表達式所需的 IAM 許可
您必須設定許可,以允許 Lake Formation 主體建立 LF-Tag 表達式。將下列陳述式新增至需要成為 LF-Tag 表達式建立者的主體的許可政策。
注意
雖然資料湖管理員具有隱含 Lake Formation 許可來建立、更新和刪除 LF-Tags 和 LF-Tag 表達式、將 LF-Tags 指派給資源,以及將 LF-Tags 和 LF-Tag 表達式許可授予主體,但資料湖管理員也需要下列 IAM 許可。
如需詳細資訊,請參閱Lake Formation 角色和 IAM 許可參考。
{
"Sid": "Transformational",
"Effect": "Allow",
"Action": [
"lakeformation:AddLFTagsToResource",
"lakeformation:RemoveLFTagsFromResource",
"lakeformation:GetResourceLFTags",
"lakeformation:ListLFTags",
"lakeformation:CreateLFTag",
"lakeformation:GetLFTag",
"lakeformation:UpdateLFTag",
"lakeformation:DeleteLFTag",
"lakeformation:SearchTablesByLFTags",
"lakeformation:SearchDatabasesByLFTags",
"lakeformation:CreateLFTagExpression",
"lakeformation:DeleteLFTagExpression",
"lakeformation:UpdateLFTagExpression",
"lakeformation:GetLFTagExpression",
"lakeformation:ListLFTagExpressions",
"lakeformation:GrantPermissions",
"lakeformation:RevokePermissions",
"lakeformation:BatchGrantPermissions",
"lakeformation:BatchRevokePermissions"
]
}
新增 LF-Tag 表達式建立者
LF-Tag 表達式建立者可以使用 LF-TBAC 方法建立和儲存可重複使用的 LF-Tag 表達式、更新標籤索引鍵和值、刪除表達式,以及將 Data Catalog 資源的許可授予委託人。LF-Tag 表達式建立者也可以將這些許可授予委託人。
您可以使用 AWS Lake Formation 主控台、 API 或 AWS Command Line Interface () 來建立 LF-Tag 表達式建立器角色AWS CLI。
新增 LF-Tag 表達式建立者
-
開啟 Lake Formation 主控台,網址為 https://console.aws.amazon.com/lakeformation/
。 以資料湖管理員身分登入。
-
在導覽窗格的許可下,選擇 LF 標籤和許可。
選擇 LF-Tag 表達式索引標籤。
在 LF-Tag 表達式建立者區段中,選擇新增 LF-Tag 表達式建立者。
-
在新增 LF-Tag 表達式建立器頁面上,選擇具有建立 LF-Tag 表達式所需許可的 IAM 角色或使用者。
-
選取
Create LF-Tag expression
許可核取方塊。 -
(選用) 若要讓選取的委託人授予委託人
Create LF-Tag expression
許可,請選擇可授予Create LF-Tag expression
許可。 -
選擇新增。
LF-Tag 表達式建立器角色可以建立、更新或刪除 LF-Tag 表達式。
權限 | 描述 |
---|---|
Create |
具有此許可的主體可以在資料湖中新增 LF-Tag 表達式。 |
Drop |
在 LF-Tag 表達式上具有此許可的主體可以從資料湖中刪除 LF-Tag 表達式。 |
Alter |
在 LF-Tag 表達式上具有此許可的主體可以更新 LF-Tag 表達式的表達式內文。 |
Describe |
在 LF-Tag 表達式上具有此許可的主體可以檢視 LF-Tag 表達式的內容。 |
Grant with LF-Tag expression |
此許可允許收件人在授予資料或中繼資料存取許可時,使用標籤表達式做為資源。Grant with LF-Tag expression 隱含授予 Describe 。 |
Super |
對於 LF-Tag 表達式, Super 許可授予 Describe 、Drop 、 Alter 和 將標籤表達式許可授予其他主體的能力。 |
這些許可是可授予的。已透過授予選項授予這些許可的委託人,可以將其授予其他委託人。