Kaskadierung von kontoübergreifenden Berechtigungen

Wenn Sie Daten mithilfe von LF-Tag-Richtlinien AWS für mehrere Konten gemeinsam nutzen, wird die Kaskadierung von Berechtigungen über zwei primäre AWS Lake Formation Delegierungsmechanismen ermöglicht. Diese Mechanismen ermöglichen es Administratoren von Verbraucherkonten, Benutzern und Rollen Zugriff zu gewähren, ohne dass das Produzentenkonto die individuellen Berechtigungen für jeden Verbraucher verwalten muss.

Delegierung mit identischen LF-Tag-Richtlinien — Wenn die LF-Tag-Richtlinie genau der LF-Tag-Richtlinie entspricht, die vom Produzentenkonto zur gemeinsamen Nutzung von Ressourcen mit dem Verbraucherkonto verwendet wird, können Principals Berechtigungen mithilfe der erteilbaren Berechtigungen () kaskadieren. PermissionsWithGrantOption Auf diese Weise kann der Prinzipal im Verbraucherkonto anderen Prinzipalen innerhalb seines Kontos dieselben Berechtigungen gewähren.
Alternative Delegierung mithilfe von DESCRIBE Berechtigungen — Prinzipale im Verbraucherkonto können Berechtigungen kaskadieren, ohne dass erteilbare Berechtigungen (PermissionsWithGrantOption) erforderlich sind, wenn sie über DESCRIBE-Berechtigungen für Tag-Wert-Paare verfügen. Dieser Ansatz funktioniert nur, wenn Produzenten- und Verbraucherkonten unterschiedliche Berechtigungsrichtlinien haben.

Das Verständnis dieser Delegierungsmechanismen ist wichtig für einen ordnungsgemäßen kontenübergreifenden Datenaustausch und ein angemessenes Sicherheitsmanagement. Sie bestimmen, wie Berechtigungen von den Dateneigentümern an die Verbraucher weitergegeben werden.

Themen

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Gemeinsame Nutzung von Daten mithilfe von tagbasierten Zugriffskontrollen

Regeln für die Kaskadierung von Berechtigungen