Cascading izin lintas akun

Saat Anda berbagi data di seluruh AWS akun menggunakan kebijakan LF-tag, AWS Lake Formation aktifkan izin mengalir melalui dua mekanisme delegasi utama. Mekanisme ini memungkinkan administrator akun konsumen untuk memberikan akses ke pengguna dan peran tanpa memerlukan akun produsen untuk mengelola izin individu untuk setiap konsumen.

Delegasi dengan kebijakan LF-tag identik — Ketika kebijakan LF-tag persis sama dengan kebijakan LF-tag yang digunakan oleh akun produsen untuk berbagi sumber daya dengan akun konsumen, prinsipal dapat mengalirkan izin menggunakan izin yang dapat diberikan (). PermissionsWithGrantOption Hal ini memungkinkan prinsipal di akun konsumen untuk memberikan izin yang sama kepada prinsipal lain dalam akun mereka.
Delegasi alternatif menggunakan DESCRIBE izin — Prinsipal di akun konsumen dapat mengalirkan izin tanpa memerlukan izin yang dapat diberikan () jika mereka memiliki izin DESCRIBE pada pasangan nilai tag. PermissionsWithGrantOption Pendekatan ini hanya berfungsi ketika akun produsen dan konsumen memiliki kebijakan izin yang berbeda.

Memahami mekanisme delegasi ini penting untuk berbagi data lintas akun dan manajemen keamanan yang tepat. Mereka menentukan bagaimana izin mengalir dari pemilik data ke konsumen.

Topik

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Berbagi data menggunakan kontrol akses berbasis tag

Aturan cascading izin