Mengelola ekspresi LF-tag untuk kontrol akses metadata - AWS Lake Formation
Izin IAM diperlukan untuk membuat ekspresi LF-tagTambahkan pembuat ekspresi LF-tag

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola ekspresi LF-tag untuk kontrol akses metadata

Ekspresi LF-tag adalah ekspresi logis yang terdiri dari satu atau lebih LF-tag (pasangan kunci-nilai) yang digunakan untuk memberikan izin pada sumber daya. AWS Glue Data Catalog Ekspresi LF-tag memungkinkan Anda menentukan aturan yang mengatur akses ke sumber daya data Anda berdasarkan tag metadatanya. Anda dapat menyimpan ekspresi ini dan menggunakannya kembali di beberapa hibah izin, memastikan konsistensi dan membuatnya mudah untuk mengelola perubahan pada ontologi tag dari waktu ke waktu.

Dalam ekspresi LF-tag yang diberikan, kunci tag digabungkan menggunakan operasi AND, sedangkan nilai digabungkan menggunakan operasi OR. Misalnya, ekspresi tag content_type:Sales AND location:US mewakili sumber daya yang terkait dengan data penjualan di AS.

Anda dapat membuat hingga 1000 ekspresi LF-tag dalam file. Akun AWS Ekspresi ini menyediakan cara yang fleksibel dan terukur untuk mengelola izin berdasarkan tag metadata, memastikan bahwa hanya pengguna atau aplikasi yang berwenang yang dapat mengakses sumber daya data tertentu berdasarkan aturan tag yang ditentukan.

Ekspresi LF-tag menawarkan manfaat berikut:

  • Reusability — Dengan mendefinisikan dan menyimpan ekspresi LF-tag, Anda tidak perlu lagi mereplikasi ekspresi yang sama secara manual saat menetapkan izin ke sumber daya atau prinsipal lain.

  • Konsistensi — Menggunakan kembali ekspresi LF-tag di beberapa hibah izin memastikan konsistensi dalam cara izin diberikan dan dikelola.

  • Manajemen ontologi tag — Ekspresi LF-tag membantu mengelola perubahan pada ontologi tag dari waktu ke waktu, karena Anda dapat memperbarui ekspresi yang disimpan alih-alih memodifikasi hibah izin individual.

Untuk informasi lebih lanjut tentang kontrol akses berbasis tag, silakan merujuk ke. Kontrol akses berbasis tag Lake Formation

Pembuat ekspresi LF-tag

Pembuat ekspresi LF-tag adalah prinsipal yang memiliki izin untuk membuat dan mengelola ekspresi LF-tag. Administrator data lake dapat menambahkan pembuat ekspresi LF-tag menggunakan konsol Lake Formation, CLI, API, atau SDK. Pembuat ekspresi LF-tag memiliki izin Lake Formation implisit untuk membuat, memperbarui, dan menghapus ekspresi LF-tag, dan untuk memberikan izin ekspresi LF-tag ke prinsipal lain.

Pembuat ekspresi LF-tag yang bukan administrator data lake menerima Grant with LF-Tag expression izin implisitAlter,, DropDescribe, dan hanya untuk ekspresi yang mereka buat.

Administrator data lake juga dapat memberikan izin yang dapat diberikan kepada pembuat ekspresi LF-tag. Create LF-Tag expression Kemudian, pembuat ekspresi LF-tag dapat memberikan izin untuk membuat ekspresi LF-tag ke prinsipal lain.

Topik
Lihat juga

Izin IAM diperlukan untuk membuat ekspresi LF-tag

Anda harus mengonfigurasi izin untuk mengizinkan prinsipal Lake Formation untuk membuat ekspresi LF-tag. Tambahkan pernyataan berikut ke kebijakan izin untuk prinsipal yang perlu menjadi pembuat ekspresi LF-tag.

catatan

Meskipun administrator data lake memiliki izin Lake Formation implisit untuk membuat, memperbarui, dan menghapus ekspresi LF-tag dan LF-tag, untuk menetapkan LF-tag ke sumber daya, dan untuk memberikan izin ekspresi LF-tag dan LF-tag kepada kepala sekolah, administrator data lake juga memerlukan izin IAM berikut.

Untuk informasi selengkapnya, lihat Referensi personas Lake Formation dan izin IAM.

{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags",
        "lakeformation:CreateLFTagExpression",
        "lakeformation:DeleteLFTagExpression",
        "lakeformation:UpdateLFTagExpression",
        "lakeformation:GetLFTagExpression",
        "lakeformation:ListLFTagExpressions",
        "lakeformation:GrantPermissions",
        "lakeformation:RevokePermissions",
        "lakeformation:BatchGrantPermissions",
        "lakeformation:BatchRevokePermissions"
     ]
 }

Tambahkan pembuat ekspresi LF-tag

Pembuat ekspresi LF-tag dapat membuat dan menyimpan ekspresi LF-tag yang dapat digunakan kembali, memperbarui kunci dan nilai tag, menghapus ekspresi, dan memberikan izin pada sumber daya Katalog Data kepada prinsipal menggunakan metode LF-TBAC. Pembuat ekspresi LF-tag juga dapat memberikan izin ini kepada prinsipal.

Anda dapat membuat peran pembuat ekspresi LF-tag menggunakan AWS Lake Formation konsol, API, atau AWS Command Line Interface ()AWS CLI.

console
Untuk menambahkan pembuat ekspresi LF-tag

  1. Buka konsol Lake Formation di https://console.aws.amazon.com/lakeformation/.

    Masuk sebagai administrator danau data.

  2. Di panel navigasi, di bawah Izin, pilih LF-tag dan izin.

  3. Pilih tab ekspresi LF-tag.

  4. Di bagian pembuat ekspresi LF-tag, pilih Tambahkan pembuat ekspresi LF-tag.

    Form to add LF-Tag expression creators with Pengguna IAM selection and permissions.

  5. Pada halaman Tambah pembuat ekspresi LF-tag, pilih peran IAM atau pengguna yang memiliki izin yang diperlukan untuk membuat ekspresi LF-tag.

  6. Pilih kotak centang Create LF-Tag expression izin.

  7. (Opsional) Untuk mengaktifkan prinsipal yang dipilih untuk memberikan Create LF-Tag expression izin kepada kepala sekolah, pilih Izin yang dapat diberikan. Create LF-Tag expression

  8. Pilih Tambahkan.

AWS CLI
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTagExpression"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTagExpression"
    ]
}

Peran pembuat ekspresi LF-tag mendapatkan kemampuan untuk membuat, memperbarui, atau menghapus ekspresi LF-tag.

Izin Deskripsi
Create Seorang kepala sekolah dengan izin ini dapat menambahkan ekspresi LF-tag di danau data.
Drop Prinsipal dengan izin ini pada ekspresi LF-tag dapat menghapus ekspresi LF-tag dari data lake.
Alter Prinsipal dengan izin ini pada ekspresi LF-tag dapat memperbarui badan ekspresi ekspresi LF-tag.
Describe Seorang prinsipal dengan izin ini pada ekspresi LF-tag dapat melihat isi ekspresi LF-tag.
Grant with LF-Tag expression Izin ini memungkinkan penerima untuk menggunakan ekspresi tag sebagai sumber daya saat memberikan izin akses data atau metadata. Memberikan hibah Grant with LF-Tag expression implisit. Describe
Super Untuk ekspresi LF-tag, Super izin memberikan kemampuan untukDescribe,, AlterDrop, dan memberikan izin pada ekspresi tag ke prinsipal lain.

Izin ini dapat diberikan. Seorang kepala sekolah yang telah diberikan izin ini dengan opsi hibah dapat memberikannya kepada prinsipal lain.