Mengelola akses ke tabel atau database dengan Lake Formation - Amazon Simple Storage Service
Memberikan izin Lake Formation di atas meja atau database

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola akses ke tabel atau database dengan Lake Formation

Setelah bucket tabel Anda terintegrasi dengan layanan AWS analitik, Lake Formation mengelola akses ke tabel Anda dan mengharuskan setiap kepala sekolah IAM (pengguna atau peran) diberi wewenang untuk melakukan tindakannya. Lake Formation menggunakan model izinnya sendiri (izin Lake Formation) yang memungkinkan kontrol akses berbutir halus untuk sumber daya Katalog Data.

Untuk informasi selengkapnya, lihat Ikhtisar izin Lake Formation di Panduan AWS Lake Formation Pengembang.

Ada dua jenis izin utama di AWS Lake Formation:

  1. Izin akses metadata mengontrol kemampuan untuk membuat, membaca, memperbarui, dan menghapus database dan tabel metadata di Katalog Data.

  2. Izin akses data yang mendasari mengontrol kemampuan untuk membaca dan menulis data ke lokasi Amazon S3 yang mendasari yang ditunjuk oleh sumber daya Katalog Data.

Lake Formation menggunakan kombinasi model izinnya sendiri dan model izin IAM untuk mengontrol akses ke sumber daya Katalog Data dan data yang mendasarinya:

  • Agar permintaan mengakses sumber daya Katalog Data atau data dasar agar berhasil, permintaan harus lulus pemeriksaan izin oleh IAM dan Lake Formation.

  • Izin IAM mengontrol akses ke Lake Formation dan AWS Glue APIs dan resource, sedangkan izin Lake Formation mengontrol akses ke sumber daya Katalog Data, lokasi Amazon S3, dan data yang mendasarinya.

Izin Lake Formation hanya berlaku di Wilayah di mana mereka diberikan, dan kepala sekolah harus diberi wewenang oleh administrator danau data atau kepala sekolah lain dengan izin yang diperlukan untuk diberikan izin Lake Formation.

catatan

Jika Anda adalah pengguna yang melakukan integrasi bucket tabel, Anda sudah memiliki izin Lake Formation ke tabel Anda. Jika Anda satu-satunya kepala sekolah yang akan mengakses tabel Anda, Anda dapat melewati langkah ini. Anda hanya perlu memberikan izin Lake Formation di tabel Anda ke prinsipal IAM lainnya. Hal ini memungkinkan prinsipal lain untuk mengakses tabel saat menjalankan query. Untuk informasi selengkapnya, lihat Memberikan izin Lake Formation di atas meja atau database.

Memberikan izin Lake Formation di atas meja atau database

Anda dapat memberikan izin utama Lake Formation pada tabel atau database dalam ember meja, baik melalui konsol Lake Formation atau. AWS CLI

catatan

Saat Anda memberikan izin Lake Formation pada sumber daya Katalog Data ke akun eksternal atau langsung ke kepala IAM di akun lain, Lake Formation menggunakan layanan AWS Resource Access Manager (AWS RAM) untuk membagikan sumber daya. Jika akun penerima hibah berada di organisasi yang sama dengan akun pemberi hibah, sumber daya bersama segera tersedia untuk penerima hibah. Jika akun penerima hibah tidak berada di organisasi yang sama, AWS RAM kirimkan undangan ke akun penerima hibah untuk menerima atau menolak hibah sumber daya. Kemudian, untuk membuat sumber daya bersama tersedia, administrator data lake di akun penerima hibah harus menggunakan AWS RAM konsol atau AWS CLI untuk menerima undangan. Untuk informasi selengkapnya tentang berbagi data lintas akun, lihat Berbagi data lintas akun di Lake Formation di Panduan AWS Lake Formation Pengembang.

Console

  1. Buka AWS Lake Formation konsol dihttps://console.aws.amazon.com/lakeformation/, dan masuk sebagai administrator danau data. Untuk informasi selengkapnya tentang cara membuat administrator data lake, lihat Membuat administrator data lake di Panduan AWS Lake Formation Pengembang.

  2. Di panel navigasi, pilih Izin data, lalu pilih Hibah.

  3. Pada halaman Izin Hibah, di bawah Prinsipal, lakukan salah satu hal berikut:

    • Untuk Amazon Athena atau Amazon Redshift, pilih pengguna dan peran IAM, dan pilih prinsipal IAM yang Anda gunakan untuk kueri.

    • Untuk Amazon Data Firehose, pilih pengguna dan peran IAM, lalu pilih peran layanan yang Anda buat untuk streaming ke tabel.

    • Untuk Cepat, pilih pengguna dan grup SAFL, lalu masukkan Nama Sumber Daya Amazon (ARN) pengguna admin Cepat Anda.

    • Untuk akses AWS GlueIceberg REST endpoint, pilih pengguna dan peran IAM lalu pilih peran IAM yang Anda buat untuk klien Anda. Untuk informasi selengkapnya, lihat Buat peran IAM untuk klien Anda

  4. Di bawah LF-tag atau sumber katalog, pilih Sumber daya Katalog Data Bernama.

  5. Untuk Katalog, pilih subkatalog yang Anda buat saat mengintegrasikan bucket tabel, misalnya,. account-id:s3tablescatalog/amzn-s3-demo-bucket

  6. Untuk Database, pilih namespace bucket tabel S3 yang Anda buat.

  7. (Opsional) Untuk Tabel, pilih tabel S3 yang Anda buat di bucket tabel Anda.

    catatan

    Jika Anda membuat tabel baru di editor kueri Athena, jangan pilih tabel.

  8. Lakukan salah satu tindakan berikut:

    • Jika Anda menentukan tabel di langkah sebelumnya, untuk izin Tabel, pilih Super.

    • Jika Anda tidak menentukan tabel pada langkah sebelumnya, buka izin Database. Untuk berbagi data lintas akun, Anda tidak dapat memilih Super untuk memberikan semua izin pada prinsipal lainnya di database Anda. Sebagai gantinya, pilih lebih banyak izin berbutir halus, seperti Deskripsikan.

  9. PilihIzin.

CLI

  1. Pastikan Anda menjalankan AWS CLI perintah berikut sebagai administrator data lake. Untuk informasi selengkapnya, lihat Membuat administrator data lake di Panduan AWS Lake Formation Pengembang.

  2. Jalankan perintah berikut untuk memberikan izin Lake Formation pada tabel di bucket tabel S3 ke prinsipal IAM untuk mengakses tabel. Untuk menggunakan contoh ini, ganti user input placeholders dengan informasi Anda sendiri. 

    aws lakeformation grant-permissions \
--region us-east-1 \
--cli-input-json \
'{
    "Principal": {
        "DataLakePrincipalIdentifier": "user or role ARN, for example, arn:aws:iam::account-id:role/example-role"
    },
    "Resource": {
        "Table": {
            "CatalogId": "account-id:s3tablescatalog/amzn-s3-demo-bucket",
            "DatabaseName": "S3 table bucket namespace, for example, test_namespace",
            "Name": "S3 table bucket table name, for example test_table"
        }
    },
    "Permissions": [
        "ALL"
    ]
}'