Cascade des autorisations entre comptes

Lorsque vous partagez des données entre AWS comptes à l'aide de politiques LF-Tag, cela AWS Lake Formation permet la mise en cascade des autorisations via deux mécanismes de délégation principaux. Ces mécanismes permettent aux administrateurs de comptes clients d'accorder l'accès aux utilisateurs et aux rôles sans que le compte producteur doive gérer les autorisations individuelles pour chaque consommateur.

Délégation avec des politiques LF-Tag identiques — Lorsque la politique LF-Tag est exactement la même que la politique LF-Tag utilisée par le compte producteur pour partager des ressources avec le compte consommateur, les principaux peuvent attribuer des autorisations en cascade à l'aide des autorisations pouvant être accordées (). PermissionsWithGrantOption Cela permet au principal du compte client d'accorder les mêmes autorisations aux autres principaux de son compte.
Délégation alternative utilisant DESCRIBE des autorisations — Les principaux du compte client peuvent attribuer des autorisations en cascade sans avoir besoin d'autorisations pouvant être accordées (PermissionsWithGrantOption) s'ils disposent d'autorisations DESCRIBE sur les paires balise-valeur. Cette approche ne fonctionne que lorsque les comptes producteur et consommateur ont des politiques d'autorisation différentes.

Il est important de comprendre ces mécanismes de délégation pour un partage de données entre comptes et une gestion de la sécurité appropriés. Ils déterminent la manière dont les autorisations sont transmises des propriétaires de données aux consommateurs.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Partage de données à l'aide du contrôle d'accès basé sur des balises

Règles d'autorisation en cascade