Autorizzazioni a cascata tra più account

Quando condividi dati tra AWS account utilizzando le politiche LF-Tag, abilita il trasferimento a cascata delle autorizzazioni attraverso due meccanismi di delega principali. AWS Lake Formation Questi meccanismi consentono agli amministratori degli account consumer di concedere l'accesso a utenti e ruoli senza richiedere all'account produttore di gestire le autorizzazioni individuali per ciascun consumatore.

Delega con politiche LF-Tag identiche: quando la politica LF-Tag è esattamente la stessa della politica LF-Tag utilizzata dall'account produttore per condividere le risorse con l'account consumer, i principali possono assegnare le autorizzazioni a catena utilizzando le autorizzazioni concedibili (). PermissionsWithGrantOption Ciò consente all'intestatario dell'account consumatore di concedere le stesse autorizzazioni ad altri responsabili all'interno del proprio account.
Delega alternativa tramite DESCRIBE autorizzazioni: i responsabili dell'account consumer possono assegnare a catena le autorizzazioni senza richiedere autorizzazioni concedibili (PermissionsWithGrantOption) se dispongono delle autorizzazioni DESCRIBE su coppie tag-valore. Questo approccio funziona solo quando gli account produttore e consumatore hanno politiche di autorizzazione diverse.

La comprensione di questi meccanismi di delega è importante per la corretta condivisione dei dati tra account e la gestione della sicurezza. Determinano il modo in cui le autorizzazioni passano dai proprietari dei dati ai consumatori.

Argomenti

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Condivisione dei dati tramite controllo degli accessi basato su tag

Regole di autorizzazione a cascata