Mengelola data lake menggunakan kontrol akses berbasis tag Lake Formation - AWS Lake Formation
Audiens yang ditujuPrasyaratLangkah 1: Menyediakan sumber daya AndaLangkah 2: Daftarkan lokasi data Anda, buat ontologi LF-tag, dan berikan izinLangkah 3: Buat database Lake FormationLangkah 4: Berikan izin tabelLangkah 5: Jalankan kueri di Amazon Athena untuk memverifikasi izinLangkah 6: Bersihkan AWS sumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola data lake menggunakan kontrol akses berbasis tag Lake Formation

Ribuan pelanggan sedang membangun danau data skala petabyte. AWS Banyak dari pelanggan ini menggunakan AWS Lake Formation untuk dengan mudah membangun dan berbagi data lake mereka di seluruh organisasi. Seiring bertambahnya jumlah tabel dan pengguna, pengelola data dan administrator mencari cara untuk mengelola izin di danau data dengan mudah dalam skala besar. Lake Formation Tag-based Access Control (LF-TBAC) memecahkan masalah ini dengan memungkinkan data steward untuk membuat LF-tag (berdasarkan klasifikasi data dan ontologi mereka) yang kemudian dapat dilampirkan ke sumber daya.

LF-TBAC adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut. Dalam Lake Formation, atribut ini disebut LF-tag. Anda dapat melampirkan LF-tag ke sumber daya Katalog Data dan prinsip Lake Formation. Administrator data lake dapat menetapkan dan mencabut izin pada sumber daya Lake Formation menggunakan LF-tag. Untuk informasi lebih lanjut tentang lihat,Kontrol akses berbasis tag Lake Formation.

Tutorial ini menunjukkan cara membuat kebijakan kontrol akses berbasis tag Lake Formation menggunakan dataset AWS publik. Selain itu, ini menunjukkan cara menanyakan tabel, database, dan kolom yang memiliki kebijakan akses berbasis tag Lake Formation yang terkait dengannya.

Anda dapat menggunakan LF-TBAC untuk kasus penggunaan berikut:

  • Anda memiliki sejumlah besar tabel dan prinsip yang harus diberikan oleh administrator danau data

  • Anda ingin mengklasifikasikan data Anda berdasarkan ontologi dan memberikan izin berdasarkan klasifikasi

  • Administrator data lake ingin menetapkan izin secara dinamis, dengan cara yang digabungkan secara longgar

Berikut ini adalah langkah-langkah tingkat tinggi untuk mengonfigurasi izin menggunakan LF-TBAC:

  1. Data steward mendefinisikan ontologi tag dengan dua LF-tag: dan. Confidential Sensitive Data dengan Confidential=True memiliki kontrol akses yang lebih ketat. Data dengan Sensitive=True membutuhkan analisis spesifik dari analis.

  2. Data steward memberikan tingkat izin yang berbeda kepada insinyur data untuk membuat tabel dengan tag LF yang berbeda.

  3. Insinyur data membangun dua database: tag_database dan. col_tag_database Semua tabel di tag_database dikonfigurasi denganConfidential=True. Semua tabel di col_tag_database dikonfigurasi denganConfidential=False. Beberapa kolom tabel di col_tag_database ditandai dengan Sensitive=True untuk kebutuhan analisis spesifik.

  4. Insinyur data memberikan izin baca kepada analis untuk tabel dengan kondisi ekspresi tertentu Confidential=True danConfidential=False,Sensitive=True.

  5. Dengan konfigurasi ini, analis data dapat fokus melakukan analisis dengan data yang tepat.

Audiens yang dituju

Tutorial ini ditujukan untuk pengelola data, insinyur data, dan analis data. Dalam hal mengelola AWS Glue Data Catalog dan mengelola izin di Lake Formation, pengelola data dalam akun penghasil memiliki kepemilikan fungsional berdasarkan fungsi yang mereka dukung, dan dapat memberikan akses ke berbagai konsumen, organisasi eksternal, dan akun.

Tabel berikut mencantumkan peran yang digunakan dalam tutorial ini:

Peran Deskripsi
Pelayan data (administrator) lf-data-stewardPengguna memiliki akses berikut:

  • Baca akses ke semua sumber daya di Katalog Data

  • Dapat membuat LF-tag dan mengasosiasikan ke peran insinyur data untuk izin yang dapat diberikan kepada prinsipal lain
Insinyur data

lf-data-engineerpengguna memiliki akses berikut:

  • Akses baca, tulis, dan perbarui lengkap ke semua sumber daya di Katalog Data

  • Izin lokasi data di danau data

  • Dapat mengaitkan LF-tag dan mengasosiasikan ke Katalog Data

  • Dapat melampirkan tag LF ke sumber daya, yang menyediakan akses ke prinsipal berdasarkan kebijakan apa pun yang dibuat oleh pengelola data
Analis data lf-data-analystPengguna memiliki akses berikut:

  • Akses halus ke sumber daya yang dibagikan oleh kebijakan akses berbasis tag Lake Formation

Prasyarat

Sebelum Anda memulai tutorial ini, Anda harus memiliki Akun AWS yang dapat Anda gunakan untuk masuk sebagai pengguna administratif dengan izin yang benar. Untuk informasi selengkapnya, lihat Selesaikan tugas AWS konfigurasi awal.

Tutorial mengasumsikan bahwa Anda sudah familiar dengan IAM. Untuk informasi tentang IAM, lihat Panduan Pengguna IAM.

Langkah 1: Menyediakan sumber daya Anda

Tutorial ini mencakup AWS CloudFormation template untuk pengaturan cepat. Anda dapat meninjau dan menyesuaikannya sesuai dengan kebutuhan Anda. Template membuat tiga peran berbeda (tercantum dalamAudiens yang dituju) untuk melakukan latihan ini dan menyalin nyc-taxi-data kumpulan data ke bucket Amazon S3 lokal Anda.

  • Bucket Amazon S3

  • Pengaturan Lake Formation yang sesuai

  • EC2 Sumber daya Amazon yang sesuai

  • Tiga peran IAM dengan kredensil

Buat sumber daya Anda

  1. Masuk ke AWS CloudFormation konsol di https://console.aws.amazon.com/cloudformation di wilayah US East (Virginia N.).

  2. Pilih Launch Stack.

  3. Pilih Berikutnya.

  4. Di bagian Konfigurasi Pengguna, masukkan kata sandi untuk tiga peran:DataStewardUserPassword, DataEngineerUserPassword danDataAnalystUserPassword.

  5. Tinjau detail di halaman akhir dan pilih Saya akui yang AWS CloudFormation mungkin membuat sumber daya IAM.

  6. Pilih Buat.

    Pembuatan tumpukan bisa memakan waktu hingga lima menit.

catatan

Setelah Anda menyelesaikan tutorial, Anda mungkin ingin menghapus tumpukan AWS CloudFormation untuk menghindari terus dikenakan biaya. Verifikasi bahwa sumber daya berhasil dihapus dalam status acara untuk tumpukan.

Langkah 2: Daftarkan lokasi data Anda, buat ontologi LF-tag, dan berikan izin

Pada langkah ini, pengguna data steward mendefinisikan ontologi tag dengan dua LF-tag: Confidential danSensitive, dan memberikan prinsip-prinsip IAM tertentu kemampuan untuk melampirkan LF-tag yang baru dibuat ke sumber daya.

Daftarkan lokasi data dan tentukan ontologi LF-tag

  1. Lakukan langkah pertama sebagai pengguna data steward (lf-data-steward) untuk memverifikasi data di Amazon S3 dan Katalog Data di Lake Formation.

    1. Masuk ke konsol Lake Formation di https://console.aws.amazon.com/lakeformation/seperti kata sandi lf-data-steward yang digunakan saat menerapkan AWS CloudFormation tumpukan.

    2. Di panel navigasi, di bawah Izin ¸ pilih Peran dan tugas administratif.

    3. Pilih Tambah di bagian Administrator danau data.

    4. Pada halaman Add administrator, untuk pengguna dan peran IAM, pilih penggunalf-data-steward.

    5. Pilih Simpan untuk ditambahkan lf-data-steward sebagai administrator Lake Formation.

  2. Selanjutnya, perbarui pengaturan Katalog Data untuk menggunakan izin Lake Formation untuk mengontrol sumber daya katalog, bukan kontrol akses berbasis IAM.

    1. Di panel navigasi, di bawah Administrasi, pilih Pengaturan Katalog Data.

    2. Hapus centang Gunakan hanya kontrol akses IAM untuk database baru.

    3. Hapus centang Gunakan hanya kontrol akses IAM untuk tabel baru di database baru.

    4. Klik Simpan.

  3. Selanjutnya, daftarkan lokasi data untuk data lake.

    1. Di panel navigasi, di bawah Administrasi, pilih Lokasi danau data.

    2. Pilih Daftar lokasi.

    3. Pada halaman Daftar lokasi, untuk jalur Amazon S3, masukkan. s3://lf-tagbased-demo-Account-ID

    4. Untuk peran IAM, biarkan nilai default apa AWSServiceRoleForLakeFormationDataAccess adanya.

    5. Pilih Lake Formation sebagai mode izin.

    6. Pilih Daftar lokasi.

  4. Selanjutnya, buat ontologi dengan mendefinisikan LF-tag.

    1. Di bawah Izin di panel navigasi, pilih LF-tag dan izin. .

    2. Pilih Tambahkan LF-Tag.

    3. Untuk Kunci, masukkan Confidential.

    4. Untuk Nilai, tambahkan True danFalse.

    5. Pilih Tambahkan LF-Tag.

    6. Ulangi langkah-langkah untuk membuat LF-tag Sensitive dengan nilai. True

    Anda telah membuat semua LF-tag yang diperlukan untuk latihan ini.

Berikan izin kepada pengguna IAM

  1. Selanjutnya, berikan kepala sekolah IAM tertentu kemampuan untuk melampirkan tag LF yang baru dibuat ke sumber daya.

    1. Di bawah Izin di panel navigasi, pilih LF-tag dan izin.

    2. Di bagian izin LF-tag, pilih Hibah izin.

    3. Untuk jenis Izin, pilih izin pasangan nilai kunci LF-tag.

    4. Pilih pengguna dan peran IAM.

    5. Untuk pengguna dan peran IAM, cari dan pilih lf-data-engineer peran.

    6. Di bagian LF-tag, tambahkan kunci Confidential dengan nilai True danFalse, dan key Sensitive dengan nilai. True

    7. Di bawah Izin, pilih Jelaskan dan Kaitkan untuk Izin dan Izin yang Dapat Diberikan.

    8. PilihIzin.

  2. Selanjutnya, berikan izin lf-data-engineer untuk membuat database di Katalog Data kami dan pada bucket Amazon S3 yang mendasari yang dibuat oleh. AWS CloudFormation

    1. Di bawah Administrasi di panel navigasi, pilih Peran dan tugas administratif.

    2. Di bagian Pembuat basis data, pilih Hibah.

    3. Untuk pengguna dan peran IAM, pilih lf-data-engineer peran.

    4. Untuk izin Katalog, pilih Buat database.

    5. PilihIzin.

  3. Selanjutnya, berikan izin pada (s3://lf-tagbased-demo-Account-ID) bucket Amazon S3 kepada lf-data-engineer pengguna.

    1. Di panel navigasi, di bawah Izin, pilih Lokasi data.

    2. PilihIzin.

    3. Pilih Akun saya.

    4. Untuk pengguna dan peran IAM, pilih lf-data-engineer peran.

    5. Untuk lokasi Penyimpanan, masukkan bucket Amazon S3 yang dibuat oleh template. AWS CloudFormation (s3://lf-tagbased-demo-Account-ID)

    6. PilihIzin.

  4. Selanjutnya, berikan lf-data-engineer izin yang dapat diberikan pada sumber daya yang terkait dengan ekspresi LF-tag. Confidential=True

    1. Di panel navigasi, di bawah Izin, pilih Izin danau data.

    2. PilihIzin.

    3. Pilih pengguna dan peran IAM.

    4. Pilih perannyalf-data-engineer.

    5. Di bagian LF-tag atau sumber katalog, pilih Sumber daya yang cocok dengan LF-tag.

    6. Pilih Tambahkan pasangan nilai kunci LF-tag.

    7. Tambahkan kunci Confidential dengan nilainyaTrue.

    8. Di bagian Izin database, pilih Jelaskan untuk izin Database dan izin yang dapat diberikan.

    9. Di bagian Izin tabel, pilih Jelaskan, Pilih, dan Ubah untuk izin Tabel dan izin yang Dapat Diberikan.

    10. PilihIzin.

  5. Selanjutnya, berikan lf-data-engineer izin yang dapat diberikan pada sumber daya yang terkait dengan ekspresi LF-tag. Confidential=False

    1. Di panel navigasi, di bawah Izin, pilih Izin danau data.

    2. PilihIzin.

    3. Pilih pengguna dan peran IAM.

    4. Pilih perannyalf-data-engineer.

    5. Pilih Sumber daya yang cocok dengan LF-tag.

    6. Pilih Tambahkan LF-Tag.

    7. Tambahkan kunci Confidential dengan nilainyaFalse.

    8. Di bagian Izin database, pilih Jelaskan untuk izin Database dan izin yang dapat diberikan.

    9. Di bagian Tabel dan kolom izin, jangan pilih apa pun.

    10. PilihIzin.

  6. Selanjutnya, kami lf-data-engineer memberikan izin yang dapat diberikan pada sumber daya yang terkait dengan pasangan nilai kunci LF-tag dan. Confidential=False Sensitive=True

    1. Di panel navigasi, di bawah Izin, pilih Izin data.

    2. PilihIzin.

    3. Pilih pengguna dan peran IAM.

    4. Pilih perannyalf-data-engineer.

    5. Di bagian LF-tag atau sumber katalog, pilih Sumber daya yang cocok dengan LF-tag.

    6. Pilih Tambahkan LF-Tag.

    7. Tambahkan kunci Confidential dengan nilainyaFalse.

    8. Pilih Tambahkan pasangan nilai kunci LF-tag.

    9. Tambahkan kunci Sensitive dengan nilainyaTrue.

    10. Di bagian Izin database, pilih Jelaskan untuk izin Database dan izin yang dapat diberikan.

    11. Di bagian Izin tabel, pilih Jelaskan, Pilih, dan Ubah untuk izin Tabel dan izin yang Dapat Diberikan.

    12. PilihIzin.

Langkah 3: Buat database Lake Formation

Pada langkah ini, Anda membuat dua database dan melampirkan LF-tag ke database dan kolom tertentu untuk tujuan pengujian.

Buat database dan tabel Anda untuk akses tingkat database

  1. Pertama, buat databasetag_database, tabelsource_data, dan lampirkan LF-tag yang sesuai.

    1. Pada konsol Lake Formation (https://console.aws.amazon.com/lakeformation/), di bawah Katalog Data, pilih Database.

    2. Pilih Buat basis data.

    3. Untuk Nama, masukkan tag_database.

    4. Untuk Lokasi, masukkan lokasi Amazon S3 yang dibuat oleh template. AWS CloudFormation (s3://lf-tagbased-demo-Account-ID/tag_database/)

    5. Hapus pilih Gunakan hanya kontrol akses IAM untuk tabel baru dalam database ini.

    6. Pilih Buat basis data.

  2. Selanjutnya, buat tabel baru di dalamnyatag_database.

    1. Pada halaman Database, pilih databasetag_database.

    2. Pilih Lihat Tabel dan klik Buat tabel.

    3. Untuk Nama, masukkan source_data.

    4. Untuk Basis data, pilih basis data tag_database.

    5. Untuk format Tabel, pilih AWS Glue Tabel standar.

    6. Untuk Data terletak di, pilih Jalur yang ditentukan di akun saya.

    7. Untuk jalur Sertakan, masukkan jalur yang akan tag_database dibuat oleh AWS CloudFormation template(s3://lf-tagbased-demoAccount-ID/tag_database/).

    8. Untuk format Data, pilih CSV.

    9. Di bawah Upload skema, masukkan array JSON berikut dari struktur kolom untuk membuat skema:

       [
               {
                    "Name": "vendorid",
                    "Type": "string"
               },
               {
                    "Name": "lpep_pickup_datetime",
                    "Type": "string"                    
               },
               {
                    "Name": "lpep_dropoff_datetime",
                    "Type": "string"  
              
               },
                  {
                    "Name": "store_and_fwd_flag",
                    "Type": "string"                                
               },
                  {
                    "Name": "ratecodeid",
                    "Type": "string"                   
                    
               },
                  {
                    "Name": "pulocationid",
                    "Type": "string"                   
                    
               },
               {
                    "Name": "dolocationid",
                    "Type": "string"                   
                    
               },
                  {
                    "Name": "passenger_count",
                    "Type": "string"                   
                    
               },
               {
                    "Name": "trip_distance",
                    "Type": "string"                    
                    
               }, 
                  {
                    "Name": "fare_amount",
                    "Type": "string"                   
                    
               },
               {
                    "Name": "extra",
                    "Type": "string"                   
                    
               },
                  {
                    "Name": "mta_tax",
                    "Type": "string"                    
                    
               },
               {
                    "Name": "tip_amount",
                    "Type": "string"                   
                    
               },
                  {
                    "Name": "tolls_amount",
                    "Type": "string"                   
                    
               },
               {
                    "Name": "ehail_fee",
                    "Type": "string"                    
                    
               }, 
               {
                    "Name": "improvement_surcharge",
                    "Type": "string"                   
                    
               },
               {
                    "Name": "total_amount",
                    "Type": "string"                    
                    
               },
               {
                    "Name": "payment_type",
                    "Type": "string"                    
                    
               }
 ]

    10. Pilih Unggah. Setelah mengunggah skema, skema tabel akan terlihat seperti tangkapan layar berikut:

      Table schema with 18 columns showing column names and data types, all set to string.

    11. Pilih Kirim.

  3. Selanjutnya, lampirkan LF-tag di tingkat database.

    1. Pada halaman Database, temukan dan pilihtag_database.

    2. Pada menu Tindakan, pilih Edit LF-tag.

    3. Pilih Tetapkan LF-Tag baru.

    4. Untuk kunci yang Ditugaskan ¸ pilih Confidential LF-tag yang Anda buat sebelumnya.

    5. Untuk Nilai, pilihTrue.

    6. Pilih Simpan.

    Ini melengkapi penugasan LF-tag ke database tag_database.

Buat database dan tabel Anda untuk akses tingkat kolom

Ulangi langkah-langkah berikut untuk membuat database col_tag_database dan tabelsource_data_col_lvl, dan melampirkan LF-tag pada tingkat kolom.

  1. Pada halaman Database, pilih Buat database.

  2. Untuk Nama, masukkan col_tag_database.

  3. Untuk Lokasi, masukkan lokasi Amazon S3 yang dibuat oleh template. AWS CloudFormation (s3://lf-tagbased-demo-Account-ID/col_tag_database/)

  4. Hapus pilih Gunakan hanya kontrol akses IAM untuk tabel baru dalam database ini.

  5. Pilih Buat basis data.

  6. Pada halaman Database, pilih database (col_tag_database) baru Anda.

  7. Pilih Lihat tabel dan klik Buat tabel.

  8. Untuk Nama, masukkan source_data_col_lvl.

  9. Untuk Database, pilih database baru Anda(col_tag_database).

  10. Untuk format Tabel, pilih AWS Glue Tabel standar.

  11. Untuk Data terletak di, pilih Jalur yang ditentukan di akun saya.

  12. Masukkan jalur Amazon S3 untuk. col_tag_database (s3://lf-tagbased-demo-Account-ID/col_tag_database/)

  13. Untuk format Data, pilihCSV.

  14. Di bawahUpload schema, masukkan skema JSON berikut: 

    [
               {
                    "Name": "vendorid",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "lpep_pickup_datetime",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "lpep_dropoff_datetime",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "store_and_fwd_flag",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "ratecodeid",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "pulocationid",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "dolocationid",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "passenger_count",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "trip_distance",
                    "Type": "string"
                    
                    
               }, 
                  {
                    "Name": "fare_amount",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "extra",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "mta_tax",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "tip_amount",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "tolls_amount",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "ehail_fee",
                    "Type": "string"
                    
                    
               }, 
               {
                    "Name": "improvement_surcharge",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "total_amount",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "payment_type",
                    "Type": "string"
                    
                    
               }
]

  15. Pilih Upload. Setelah mengunggah skema, skema tabel akan terlihat seperti tangkapan layar berikut.

    Table schema with 18 columns showing column names and data types, all set to string.

  16. Pilih Kirim untuk menyelesaikan pembuatan tabel.

  17. Sekarang, kaitkan Sensitive=True LF-tag ke kolom vendorid dan. fare_amount

    1. Pada halaman Tabel, pilih tabel yang Anda buat(source_data_col_lvl).

    2. Pada menu Tindakan, pilih Skema.

    3. Pilih kolom vendorid dan pilih Edit LF-tag.

    4. Untuk kunci yang Ditugaskan, pilih Sensitif.

    5. Untuk Nilai, pilih Benar.

    6. Pilih Simpan.

  18. Selanjutnya, kaitkan Confidential=False LF-tag ke. col_tag_database Ini diperlukan lf-data-analyst agar dapat menggambarkan database col_tag_database saat masuk dari Amazon Athena.

    1. Pada halaman Database, temukan dan pilihcol_tag_database.

    2. Pada menu Tindakan, pilih Edit LF-tag.

    3. Pilih Tetapkan LF-Tag baru.

    4. Untuk kunci yang Ditugaskan, pilih Confidential LF-tag yang Anda buat sebelumnya.

    5. Untuk Nilai, pilihFalse.

    6. Pilih Simpan.

Langkah 4: Berikan izin tabel

Berikan izin kepada analis data untuk konsumsi database tag_database dan tabel col_tag_database menggunakan Confidential LF-tag dan. Sensitive

  1. Ikuti langkah-langkah ini untuk memberikan izin kepada lf-data-analyst pengguna pada objek yang terkait dengan LF-tag Confidential=True (Database:TAG_DATABASE) untuk memiliki database dan izin pada tabel. Describe Select

    1. Masuk ke konsol Lake Formation di https://console.aws.amazon.com/lakeformation/aslf-data-engineer.

    2. Di bawah Izin, pilih Izin data lake.

    3. PilihIzin.

    4. Di bawah Prinsipal, pilih pengguna dan peran IAM.

    5. Untuk pengguna dan peran IAM, pilihlf-data-analyst.

    6. Di bawah LF-tag atau sumber katalog, pilih Sumber daya yang cocok dengan LF-tag.

    7. Pilih Tambahkan LF-Tag.

    8. Untuk Key, pilihConfidential.

    9. Untuk Nilai, pilihTrue.

    10. Untuk izin Database, pilihDescribe.

    11. Untuk izin Tabel, pilih Pilih dan Jelaskan.

    12. PilihIzin.

  2. Selanjutnya, ulangi langkah-langkah untuk memberikan izin kepada analis data untuk ekspresi LF-tag untuk. Confidential=False LF-tag ini digunakan untuk menggambarkan col_tag_database dan tabel source_data_col_lvl saat login dari Amazon lf-data-analyst Athena.

    1. Masuk ke konsol Lake Formation di https://console.aws.amazon.com/lakeformation/aslf-data-engineer.

    2. Pada halaman Database, pilih databasecol_tag_database.

    3. Pilih Action dan Grant.

    4. Di bawah Prinsipal, pilih pengguna dan peran IAM.

    5. Untuk pengguna dan peran IAM, pilihlf-data-analyst.

    6. Pilih Sumber daya yang cocok dengan LF-tag.

    7. Pilih Tambahkan LF-Tag.

    8. Untuk Key, pilihConfidential.

    9. Untuk Nilai ¸ pilihFalse.

    10. Untuk izin Database, pilihDescribe.

    11. Untuk izin Tabel, jangan pilih apa pun.

    12. PilihIzin.

  3. Selanjutnya, ulangi langkah-langkah untuk memberikan izin kepada analis data untuk ekspresi LF-tag untuk dan. Confidential=False Sensitive=True Tag LF ini digunakan untuk mendeskripsikan col_tag_database dan tabel source_data_col_lvl (tingkat kolom) saat masuk sebagai dari Amazon Athena. lf-data-analyst

    1. Masuk ke konsol Lake Formation di https://console.aws.amazon.com/lakeformation/aslf-data-engineer.

    2. Pada halaman Database, pilih databasecol_tag_database.

    3. Pilih Action dan Grant.

    4. Di bawah Prinsipal, pilih pengguna dan peran IAM.

    5. Untuk pengguna dan peran IAM, pilihlf-data-analyst.

    6. Pilih Sumber daya yang cocok dengan LF-tag.

    7. Pilih Tambahkan LF-Tag.

    8. Untuk Key, pilihConfidential.

    9. Untuk Nilai ¸ pilihFalse.

    10. Pilih Tambahkan LF-Tag.

    11. Untuk Key, pilihSensitive.

    12. Untuk Nilai ¸ pilihTrue.

    13. Untuk izin Database, pilihDescribe.

    14. Untuk izin Tabel, pilih Select danDescribe.

    15. PilihIzin.

Langkah 5: Jalankan kueri di Amazon Athena untuk memverifikasi izin

Untuk langkah ini, gunakan Amazon Athena untuk menjalankan SELECT kueri terhadap dua tabel. (source_data and source_data_col_lvl) Gunakan jalur Amazon S3 sebagai lokasi hasil kueri. (s3://lf-tagbased-demo-Account-ID/athena-results/)

  1. Masuk ke konsol Athena di https://console.aws.amazon.com/athena/as. lf-data-analyst

  2. Di editor kueri Athena, pilih tag_database di panel kiri.

  3. Pilih ikon opsi menu tambahan (tiga titik vertikal) di sebelah source_data dan pilih tabel Pratinjau.

  4. Pilih Run query (Jalankan kueri).

    Kueri harus memakan waktu beberapa menit untuk dijalankan. Query menampilkan semua kolom dalam output karena LF-tag dikaitkan pada tingkat database dan source_data tabel secara otomatis mewarisi LF-tag dari database. tag_database

  5. Jalankan kueri lain menggunakan col_tag_database dansource_data_col_lvl.

    Query kedua mengembalikan dua kolom yang ditandai sebagai Non-Confidential danSensitive.

  6. Anda juga dapat memeriksa untuk melihat perilaku kebijakan akses berbasis tag Lake Formation pada kolom yang Anda tidak memiliki hibah kebijakan. Ketika kolom untagged dipilih dari tabel, source_data_col_lvl Athena mengembalikan kesalahan. Misalnya, Anda dapat menjalankan kueri berikut untuk memilih kolom yang tidak ditandai: geolocationid

    SELECT geolocationid FROM "col_tag_database"."source_data_col_lvl" limit 10;

Langkah 6: Bersihkan AWS sumber daya

Untuk mencegah biaya yang tidak diinginkan ke Anda Akun AWS, Anda dapat menghapus AWS sumber daya yang Anda gunakan untuk tutorial ini.

  1. Masuk ke konsol Lake Formation sebagai lf-data-engineer dan hapus database tag_database dancol_tag_database.

  2. Selanjutnya, masuk sebagai lf-data-steward dan bersihkan semua Izin LF-Tag, Izin Data, dan Izin Lokasi Data yang diberikan di atas yang diberikan dan. lf-data-engineer lf-data-analyst.

  3. Masuk ke konsol Amazon S3 sebagai pemilik akun menggunakan kredenal IAM yang Anda gunakan untuk menyebarkan tumpukan. AWS CloudFormation

  4. Hapus ember berikut:

    • lf-tagbased-demo-accesslogs-acct-id

    • lf-tagbased-demo-acct-id

  5. Masuk ke AWS CloudFormation konsol di https://console.aws.amazon.com/cloudformation, dan hapus tumpukan yang Anda buat. Tunggu status tumpukan berubah menjadiDELETE_COMPLETE.