Contrôle d’accès basé sur les attributs

Dans AWS Lake Formation, vous pouvez accorder l'accès à AWS Glue Data Catalog des objets tels que des catalogues, des bases de données, des tables et des filtres de données à l'aide d'attributs qui sont des balises IAM et des balises de session associées à des entités IAM telles que les rôles et les utilisateurs.

Pour plus d'informations sur l'utilisation des balises de session, voir assume-role dans le guide de l' AWS CLI utilisateur.

Le contrôle d'accès basé sur les attributs (ABAC) est une stratégie d'autorisation qui définit les autorisations en fonction des attributs. AWS appelle ces balises d'attributs. Vous pouvez utiliser ABAC pour accorder l'accès aux principaux au sein du même compte ou d'un autre compte sur les ressources du catalogue de données. Tout principal IAM dont les clés et les valeurs de balise IAM ou de balise de session correspondent accède à la ressource. Vous devez disposer d'autorisations pouvant être accordées sur les ressources pour octroyer ces subventions.

ABAC vous permet d'accorder l'accès à plusieurs utilisateurs en même temps. Lorsque de nouveaux utilisateurs rejoignent l'organisation, leur accès aux données peut être déterminé automatiquement en fonction de leurs attributs, tels que leur fonction ou leur service, sans que les administrateurs n'aient à attribuer manuellement des rôles ou des autorisations spécifiques. En utilisant des attributs plutôt que des rôles, ABAC fournit une méthode plus rationalisée et plus facile à gérer pour gérer l'accès aux données dans divers systèmes et environnements, améliorant ainsi la gouvernance et la conformité des données.

Pour plus d'informations sur la définition des attributs, voir Définir des autorisations en fonction des attributs dotés d'une autorisation ABAC.

Pour plus d'informations sur les limites, les considérations et les AWS régions prises en charge, consultezConsidérations relatives au contrôle d'accès basé sur les attributs, limites et régions prises en charge.