Attributbasierte Zugriffskontrolle

In AWS Lake Formation können Sie Zugriff auf AWS Glue Data Catalog Objekte wie Kataloge, Datenbanken, Tabellen und Datenfilter gewähren, indem Sie Attribute verwenden, bei denen es sich um IAM-Tags und Sitzungs-Tags handelt, die mit IAM-Entitäten wie Rollen und Benutzern verknüpft sind.

Weitere Informationen zur Verwendung von Sitzungs-Tags finden Sie unter assume-role im Benutzerhandbuch. AWS CLI

Die attributebasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen auf der Grundlage von Attributen definiert werden. AWS nennt diese Attribute Tags. Sie können ABAC verwenden, um Principals innerhalb desselben Kontos oder in einem anderen Konto Zugriff auf die Datenkatalogressourcen zu gewähren. Jeder IAM-Prinzipal mit passenden Schlüsseln und Werten für das IAM-Tag oder das Sitzungs-Tag erhält Zugriff auf die Ressource. Sie müssen über erteilbare Berechtigungen für die Ressourcen verfügen, um diese Berechtigungen gewähren zu können.

Mit ABAC können Sie mehreren Benutzern gleichzeitig Zugriff gewähren. Wenn neue Benutzer der Organisation beitreten, kann ihr Zugriff auf Daten anhand ihrer Attribute, wie z. B. ihrer beruflichen Funktion oder Abteilung, automatisch bestimmt werden, ohne dass Administratoren bestimmte Rollen oder Berechtigungen manuell zuweisen müssen. Durch die Verwendung von Attributen anstelle von Rollen bietet ABAC eine effizientere und wartungsfreundlichere Methode zur Verwaltung des Datenzugriffs über verschiedene Systeme und Umgebungen hinweg und verbessert so letztlich die Datenverwaltung und Compliance.

Weitere Informationen zur Definition von Attributen finden Sie unter Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung.

Informationen zu Einschränkungen, Überlegungen und unterstützten AWS Regionen finden Sie unterÜberlegungen zur attributbasierten Zugriffskontrolle, Einschränkungen und unterstützte Regionen.