Gestione di un data lake utilizzando il controllo degli accessi basato su tag Lake Formation - AWS Lake Formation
Destinatari principaliPrerequisitiFase 1: Fornisci le tue risorseFase 2: Registrare la posizione dei dati, creare un'ontologia LF-tag e concedere le autorizzazioniFase 3: Creare database Lake FormationPassaggio 4: concedere le autorizzazioni per la tabellaPassaggio 5: esegui una query in Amazon Athena per verificare le autorizzazioniFase 6: Pulizia delle risorse AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione di un data lake utilizzando il controllo degli accessi basato su tag Lake Formation

Migliaia di clienti stanno costruendo data lake su scala petabyte. AWS Molti di questi clienti lo utilizzano AWS Lake Formation per creare e condividere facilmente i propri data lake all'interno dell'organizzazione. Con l'aumento del numero di tabelle e utenti, i data steward e gli amministratori sono alla ricerca di modi per gestire le autorizzazioni sui data lake in modo semplice e su larga scala. Il controllo degli accessi basato su Lake Formation Tag (LF-TBAC) risolve questo problema consentendo ai data steward di creare tag LF (in base alla classificazione e all'ontologia dei dati) che possono quindi essere collegati alle risorse.

LF-TBAC è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. In Lake Formation, questi attributi sono chiamati LF-tag. Puoi allegare i tag LF alle risorse del Data Catalog e ai principali di Lake Formation. Gli amministratori del Data Lake possono assegnare e revocare le autorizzazioni sulle risorse di Lake Formation utilizzando i tag LF. Per ulteriori informazioni su see,. Controllo degli accessi basato su tag Lake Formation

Questo tutorial dimostra come creare una politica di controllo degli accessi basata su tag Lake Formation utilizzando un set di dati AWS pubblico. Inoltre, mostra come interrogare tabelle, database e colonne a cui sono associate politiche di accesso basate su tag Lake Formation.

È possibile utilizzare LF-TBAC per i seguenti casi d'uso:

  • Hai un gran numero di tabelle e principali a cui l'amministratore del data lake deve concedere l'accesso

  • Vuoi classificare i tuoi dati in base a un'ontologia e concedere le autorizzazioni in base alla classificazione

  • L'amministratore del data lake desidera assegnare le autorizzazioni in modo dinamico, in modo vagamente accoppiato

Di seguito sono riportati i passaggi di alto livello per la configurazione delle autorizzazioni utilizzando LF-TBAC:

  1. Il data steward definisce l'ontologia dei tag con due tag LF: e. Confidential Sensitive Data with Confidential=True ha controlli di accesso più rigorosi. I dati Sensitive=True richiedono un'analisi specifica da parte dell'analista.

  2. Il data steward assegna diversi livelli di autorizzazione al data engineer per creare tabelle con tag LF diversi.

  3. L'ingegnere dei dati crea due database: e. tag_database col_tag_database Tutte le tabelle tag_database sono configurate conConfidential=True. Tutte le tabelle di col_tag_database sono configurate conConfidential=False. Alcune colonne della tabella col_tag_database sono contrassegnate con tag Sensitive=True per esigenze di analisi specifiche.

  4. L'ingegnere dei dati concede il permesso di lettura all'analista per le tabelle con condizioni di espressione specifiche Confidential=True eConfidential=False,. Sensitive=True

  5. Con questa configurazione, l'analista di dati può concentrarsi sull'esecuzione dell'analisi con i dati giusti.

Destinatari principali

Questo tutorial è destinato a amministratori di dati, ingegneri di dati e analisti di dati. Per quanto riguarda la gestione AWS Glue Data Catalog e l'amministrazione delle autorizzazioni in Lake Formation, gli amministratori dei dati all'interno degli account di produzione hanno la proprietà funzionale in base alle funzioni che supportano e possono concedere l'accesso a vari consumatori, organizzazioni esterne e account.

La tabella seguente elenca i ruoli utilizzati in questo tutorial:

Ruolo Descrizione
Data steward (amministratore) L'lf-data-stewardutente dispone dei seguenti accessi:

  • Accesso in lettura a tutte le risorse del Data Catalog

  • Può creare tag LF e associarsi al ruolo di ingegnere dei dati per concedere l'autorizzazione ad altri responsabili
Ingegnere dei dati

lf-data-engineerl'utente ha i seguenti accessi:

  • Accesso completo in lettura, scrittura e aggiornamento a tutte le risorse del Data Catalog

  • Autorizzazioni per la localizzazione dei dati nel data lake

  • Può associare tag LF e associarsi al Data Catalog

  • Può allegare tag LF alle risorse, il che fornisce l'accesso ai principali in base a qualsiasi politica creata dai data steward
Analista dei dati L'lf-data-analystutente ha il seguente accesso:

  • Accesso granulare alle risorse condivise dalle politiche di accesso basate su tag di Lake Formation

Prerequisiti

Prima di iniziare questo tutorial, è necessario disporre di un file Account AWS da utilizzare per accedere come utente amministrativo con le autorizzazioni corrette. Per ulteriori informazioni, consulta Completa le attività AWS di configurazione iniziali.

Il tutorial presuppone che tu abbia familiarità con IAM. Per informazioni su IAM, consulta la IAM User Guide.

Fase 1: Fornisci le tue risorse

Questo tutorial include un AWS CloudFormation modello per una configurazione rapida. Puoi rivederlo e personalizzarlo in base alle tue esigenze. Il modello crea tre ruoli diversi (elencati inDestinatari principali) per eseguire questo esercizio e copia il nyc-taxi-data set di dati nel bucket Amazon S3 locale.

  • Un bucket Amazon S3

  • Le impostazioni appropriate di Lake Formation

  • Le EC2 risorse Amazon appropriate

  • Tre ruoli IAM con credenziali

Crea le tue risorse

  1. Accedi alla AWS CloudFormation console all'indirizzo https://console.aws.amazon.com/cloudformation nella regione Stati Uniti orientali (Virginia settentrionale).

  2. Scegli Launch Stack.

  3. Scegli Next (Successivo).

  4. Nella sezione Configurazione utente, inserisci la password per tre ruoli:DataStewardUserPassword, DataEngineerUserPassword eDataAnalystUserPassword.

  5. Controlla i dettagli nella pagina finale e seleziona Riconosco che AWS CloudFormation potrebbe creare risorse IAM.

  6. Scegli Create (Crea) .

    La creazione dello stack può richiedere fino a cinque minuti.

Nota

Dopo aver completato il tutorial, potresti voler eliminare lo stack per evitare di continuare AWS CloudFormation a incorrere in addebiti. Verifica che le risorse siano state eliminate correttamente nello stato dell'evento per lo stack.

Fase 2: Registrare la posizione dei dati, creare un'ontologia LF-tag e concedere le autorizzazioni

In questo passaggio, l'utente Data Steward definisce l'ontologia dei tag con due LF-Tag: Confidential e Sensitive fornisce a specifici principi IAM la possibilità di allegare tag LF appena creati alle risorse.

Registra una posizione dei dati e definisci l'ontologia LF-Tag

  1. Esegui il primo passaggio come utente amministratore dei dati (lf-data-steward) per verificare i dati in Amazon S3 e nel Data Catalog in Lake Formation.

    1. Accedi alla console di Lake Formation lf-data-steward con la https://console.aws.amazon.com/lakeformation/stessa password utilizzata durante la distribuzione dello AWS CloudFormation stack.

    2. Nel riquadro di navigazione, in Autorizzazioni, scegli Ruoli e attività amministrative.

    3. Scegli Aggiungi nella sezione Amministratori di Data Lake.

    4. Nella pagina Aggiungi amministratore, per gli utenti e i ruoli IAM, scegli l'utentelf-data-steward.

    5. Scegli Salva per aggiungerlo lf-data-steward come amministratore di Lake Formation.

  2. Successivamente, aggiorna le impostazioni del Data Catalog per utilizzare l'autorizzazione Lake Formation per controllare le risorse del catalogo anziché il controllo degli accessi basato su IAM.

    1. Nel pannello di navigazione, in Amministrazione, scegli Impostazioni Data Catalog.

    2. Deseleziona Usa solo il controllo di accesso IAM per i nuovi database.

    3. Deseleziona Usa solo il controllo di accesso IAM per nuove tabelle in nuovi database.

    4. Fai clic su Save (Salva).

  3. Quindi, registra la posizione dei dati per il data lake.

    1. Nel riquadro di navigazione, in Amministrazione, scegli Posizioni dei data lake.

    2. Scegli Registra posizione.

    3. Nella pagina Registra posizione, per il percorso Amazon S3, inserisci. s3://lf-tagbased-demo-Account-ID

    4. Per il ruolo IAM, lascia il valore predefinito AWSServiceRoleForLakeFormationDataAccess così com'è.

    5. Scegli Lake Formation come modalità di autorizzazione.

    6. Scegli Registra posizione.

  4. Quindi, crea l'ontologia definendo un tag LF.

    1. In Autorizzazioni nel riquadro di navigazione, scegli LF-tags e permessi. .

    2. Scegli Aggiungi tag LF.

    3. In Chiave, inserire Confidential.

    4. Per Valori, aggiungi True e. False

    5. Scegli Aggiungi tag LF.

    6. Ripeti i passaggi per creare il tag LF Sensitive con il valore. True

    Avete creato tutti i tag LF necessari per questo esercizio.

Concedi le autorizzazioni agli utenti IAM

  1. Successivamente, offri a specifici principi IAM la possibilità di allegare tag LF appena creati alle risorse.

    1. In Autorizzazioni nel pannello di navigazione, scegli LF-tags e permessi.

    2. Nella sezione Autorizzazioni LF-Tag, scegli Concedi autorizzazioni.

    3. Per Tipo di autorizzazione, scegli le autorizzazioni per la coppia chiave-valore LF-Tag.

    4. Seleziona utenti e ruoli IAM.

    5. Per gli utenti e i ruoli IAM, cerca e scegli il lf-data-engineer ruolo.

    6. Nella sezione LF-Tags, aggiungi la chiave Confidential con valori True e False e key Sensitive with value. True

    7. In Autorizzazioni, seleziona Descrivi e associa per le autorizzazioni e le autorizzazioni concedibili.

    8. Scegli Concessione.

  2. Successivamente, concedi le autorizzazioni lf-data-engineer per creare database nel nostro catalogo dati e nel bucket Amazon S3 sottostante creato da. AWS CloudFormation

    1. In Amministrazione nel riquadro di navigazione, scegli Ruoli e attività amministrative.

    2. Nella sezione Creatori di database, scegli Concedi.

    3. Per gli utenti e i ruoli IAM, scegli il lf-data-engineer ruolo.

    4. Per le autorizzazioni del catalogo, seleziona Crea database.

    5. Scegli Concessione.

  3. Successivamente, concedi all'utente le autorizzazioni sul (s3://lf-tagbased-demo-Account-ID) bucket Amazon S3. lf-data-engineer

    1. Nel riquadro di navigazione, in Autorizzazioni, scegli Posizioni dei dati.

    2. Scegli Concessione.

    3. Seleziona Il mio account.

    4. Per gli utenti e i ruoli IAM, scegli il lf-data-engineer ruolo.

    5. Per le posizioni di archiviazione, inserisci il bucket Amazon S3 creato dal modello. AWS CloudFormation (s3://lf-tagbased-demo-Account-ID)

    6. Scegli Concessione.

  4. Successivamente, concedi autorizzazioni lf-data-engineer concedibili sulle risorse associate all'espressione LF-Tag. Confidential=True

    1. Nel riquadro di navigazione, sotto Autorizzazioni, scegli Autorizzazioni Data lake.

    2. Scegli Concessione.

    3. Seleziona utenti e ruoli IAM.

    4. Scegli il ruololf-data-engineer.

    5. Nella sezione LF-tags o risorse del catalogo, seleziona Risorse abbinate ai tag LF.

    6. Scegliete Aggiungi coppia chiave-valore LF-Tag.

    7. Aggiungi la chiave con i valoriConfidential. True

    8. Nella sezione Autorizzazioni del database, seleziona Descrivi per le autorizzazioni del database e le autorizzazioni concedibili.

    9. Nella sezione Autorizzazioni per la tabella, seleziona Descrivi, Seleziona e Alter sia per le autorizzazioni Table che per le autorizzazioni Grantable.

    10. Scegli Concessione.

  5. Successivamente, concedi autorizzazioni lf-data-engineer concedibili sulle risorse associate all'espressione LF-Tag. Confidential=False

    1. Nel riquadro di navigazione, sotto Autorizzazioni, scegli Autorizzazioni Data lake.

    2. Scegli Concessione.

    3. Seleziona utenti e ruoli IAM.

    4. Scegli il ruololf-data-engineer.

    5. Seleziona Risorse abbinate ai tag LF.

    6. Scegli Aggiungi tag LF.

    7. Aggiungi la chiave Confidential con il valore. False

    8. Nella sezione Autorizzazioni del database, seleziona Descrivi per le autorizzazioni del database e le autorizzazioni concedibili.

    9. Nella sezione Autorizzazioni per tabelle e colonne, non selezionare nulla.

    10. Scegli Concessione.

  6. Successivamente, concediamo autorizzazioni lf-data-engineer concedibili sulle risorse associate alle coppie chiave-valore del tag LF e. Confidential=False Sensitive=True

    1. Nel pannello di navigazione, in Autorizzazioni, scegli Autorizzazioni dati.

    2. Scegli Concessione.

    3. Seleziona utenti e ruoli IAM.

    4. Scegli il ruololf-data-engineer.

    5. Nella sezione LF-tags o nella sezione delle risorse del catalogo, seleziona Risorse abbinate ai tag LF.

    6. Scegli Aggiungi tag LF.

    7. Aggiungi la chiave Confidential con il valore. False

    8. Scegli Aggiungi coppia chiave-valore del tag LF.

    9. Aggiungi la chiave con il valoreSensitive. True

    10. Nella sezione Autorizzazioni del database, seleziona Descrivi per le autorizzazioni del database e le autorizzazioni concedibili.

    11. Nella sezione Autorizzazioni per la tabella, seleziona Descrivi, Seleziona e Alter sia per le autorizzazioni Table che per le autorizzazioni Grantable.

    12. Scegli Concessione.

Fase 3: Creare database Lake Formation

In questo passaggio, create due database e allegate i tag LF ai database e a colonne specifiche a scopo di test.

Crea i tuoi database e le tue tabelle per l'accesso a livello di database

  1. Innanzitutto, crea il databasetag_database, la tabella e allega i tag source_data LF appropriati.

    1. Nella console Lake Formation (https://console.aws.amazon.com/lakeformation/), in Data Catalog, scegli Databases.

    2. Scegliere Crea database.

    3. Per Nome, immetti tag_database.

    4. Per Posizione, inserisci la posizione Amazon S3 creata dal AWS CloudFormation modello. (s3://lf-tagbased-demo-Account-ID/tag_database/)

    5. Deseleziona Usa solo il controllo di accesso IAM per le nuove tabelle in questo database.

    6. Scegliere Crea database.

  2. Quindi, crea una nuova tabella all'interno tag_database di.

    1. Nella pagina Database, seleziona il databasetag_database.

    2. Scegliete Visualizza tabelle e fate clic su Crea tabella.

    3. Per Nome, immetti source_data.

    4. Per Database (Database), scegli il database tag_database.

    5. Per Formato tabella, scegli AWS Glue Tabella standard.

    6. Se i dati si trovano in, seleziona Percorso specificato nel mio account.

    7. In Includi percorso, inserisci il percorso tag_database creato dal AWS CloudFormation modello(s3://lf-tagbased-demoAccount-ID/tag_database/).

    8. Per Formato dati, seleziona CSV.

    9. In Upload schema, inserisci la seguente matrice JSON di struttura di colonne per creare uno schema:

       [
               {
                    "Name": "vendorid",
                    "Type": "string"
               },
               {
                    "Name": "lpep_pickup_datetime",
                    "Type": "string"                    
               },
               {
                    "Name": "lpep_dropoff_datetime",
                    "Type": "string"  
              
               },
                  {
                    "Name": "store_and_fwd_flag",
                    "Type": "string"                                
               },
                  {
                    "Name": "ratecodeid",
                    "Type": "string"                   
                    
               },
                  {
                    "Name": "pulocationid",
                    "Type": "string"                   
                    
               },
               {
                    "Name": "dolocationid",
                    "Type": "string"                   
                    
               },
                  {
                    "Name": "passenger_count",
                    "Type": "string"                   
                    
               },
               {
                    "Name": "trip_distance",
                    "Type": "string"                    
                    
               }, 
                  {
                    "Name": "fare_amount",
                    "Type": "string"                   
                    
               },
               {
                    "Name": "extra",
                    "Type": "string"                   
                    
               },
                  {
                    "Name": "mta_tax",
                    "Type": "string"                    
                    
               },
               {
                    "Name": "tip_amount",
                    "Type": "string"                   
                    
               },
                  {
                    "Name": "tolls_amount",
                    "Type": "string"                   
                    
               },
               {
                    "Name": "ehail_fee",
                    "Type": "string"                    
                    
               }, 
               {
                    "Name": "improvement_surcharge",
                    "Type": "string"                   
                    
               },
               {
                    "Name": "total_amount",
                    "Type": "string"                    
                    
               },
               {
                    "Name": "payment_type",
                    "Type": "string"                    
                    
               }
 ]

    10. Scegli Carica. Dopo aver caricato lo schema, lo schema della tabella dovrebbe apparire come nella schermata seguente:

      Table schema with 18 columns showing column names and data types, all set to string.

    11. Scegli Invia.

  3. Successivamente, allega i tag LF a livello di database.

    1. Nella pagina Database, trova e seleziona. tag_database

    2. Nel menu Azioni, scegliete Modifica tag LF.

    3. Scegliete Assegna nuovo LF-tag.

    4. Per le chiavi assegnate, scegliete il tag Confidential LF che avete creato in precedenza.

    5. Per Valori, scegliete. True

    6. Seleziona Salva.

    Questo completa l'assegnazione del tag LF al database tag_database.

Crea il tuo database e la tua tabella per l'accesso a livello di colonna

Ripetete i seguenti passaggi per creare il database col_tag_database e la tabella e allegare source_data_col_lvl i tag LF a livello di colonna.

  1. Nella pagina Database, scegli Crea database.

  2. Per Nome, immetti col_tag_database.

  3. Per Posizione, inserisci la posizione Amazon S3 creata dal AWS CloudFormation modello. (s3://lf-tagbased-demo-Account-ID/col_tag_database/)

  4. Deseleziona Usa solo il controllo di accesso IAM per le nuove tabelle in questo database.

  5. Scegliere Crea database.

  6. Nella pagina Database, seleziona il tuo nuovo database(col_tag_database).

  7. Scegli Visualizza tabelle e fai clic su Crea tabella.

  8. Per Nome, immetti source_data_col_lvl.

  9. Per Database, scegli il tuo nuovo database(col_tag_database).

  10. Per Formato tabella, scegli AWS Glue Tabella standard.

  11. Se i dati si trovano in, seleziona Percorso specificato nel mio account.

  12. Inserisci il percorso Amazon S3 per. col_tag_database (s3://lf-tagbased-demo-Account-ID/col_tag_database/)

  13. Per Formato dei dati, selezionaCSV.

  14. InUpload schema, inserisci il seguente schema JSON: 

    [
               {
                    "Name": "vendorid",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "lpep_pickup_datetime",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "lpep_dropoff_datetime",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "store_and_fwd_flag",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "ratecodeid",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "pulocationid",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "dolocationid",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "passenger_count",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "trip_distance",
                    "Type": "string"
                    
                    
               }, 
                  {
                    "Name": "fare_amount",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "extra",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "mta_tax",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "tip_amount",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "tolls_amount",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "ehail_fee",
                    "Type": "string"
                    
                    
               }, 
               {
                    "Name": "improvement_surcharge",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "total_amount",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "payment_type",
                    "Type": "string"
                    
                    
               }
]

  15. Scegli Upload. Dopo aver caricato lo schema, lo schema della tabella dovrebbe apparire come nella schermata seguente.

    Table schema with 18 columns showing column names and data types, all set to string.

  16. Scegli Invia per completare la creazione della tabella.

  17. Ora, associa il Sensitive=True tag LF alle colonne vendorid e. fare_amount

    1. Nella pagina Tabelle, seleziona la tabella che hai creato. (source_data_col_lvl)

    2. Nel menu Azioni, scegli Schema.

    3. Selezionate la colonna vendorid e scegliete Modifica tag LF.

    4. Per Chiavi assegnate, scegliete Sensibile.

    5. Per Valori, scegli True.

    6. Seleziona Salva.

  18. Quindi, associa il Confidential=False tag LF a. col_tag_database Questo è necessario per poter lf-data-analyst descrivere il database col_tag_database quando si effettua l'accesso da. Amazon Athena

    1. Nella pagina Database, trova e selezionacol_tag_database.

    2. Nel menu Azioni, scegliete Modifica tag LF.

    3. Scegliete Assegna nuovo LF-tag.

    4. Per Tasti assegnati, scegli il tag Confidential LF che hai creato in precedenza.

    5. Per Valori, scegliete. False

    6. Seleziona Salva.

Passaggio 4: concedere le autorizzazioni per la tabella

Concedi le autorizzazioni agli analisti di dati per l'utilizzo dei database tag_database e della tabella col_tag_database utilizzando i tag LF e. Confidential Sensitive

  1. Segui questi passaggi per concedere all'lf-data-analystutente le autorizzazioni sugli oggetti associati al tag LF Confidential=True (Database:TAG_database) per avere il database e l'autorizzazione sulle tabelle. Describe Select

    1. Accedi alla console Lake Formation all'indirizzo https://console.aws.amazon.com/lakeformation/aslf-data-engineer.

    2. In Autorizzazioni, seleziona Autorizzazioni Data lake.

    3. Scegli Concessione.

    4. In Principali, seleziona Utenti e ruoli IAM.

    5. Per gli utenti e i ruoli IAM, sceglilf-data-analyst.

    6. In LF-tags o catalog resources, seleziona Risorse abbinate a LF-Tags.

    7. Scegli Aggiungi tag LF.

    8. Per Key, scegli. Confidential

    9. Per Valori, scegliTrue.

    10. Per le autorizzazioni del database, selezionareDescribe.

    11. Per le autorizzazioni relative alle tabelle, scegli Seleziona e descrivi.

    12. Scegli Concessione.

  2. Quindi, ripeti i passaggi per concedere le autorizzazioni agli analisti di dati per l'espressione LF-tag for. Confidential=False Questo tag LF viene utilizzato per descrivere la tabella col_tag_database e la tabella source_data_col_lvl quando si effettua l'accesso da Amazon lf-data-analyst Athena.

    1. Accedi alla console Lake Formation all'indirizzo https://console.aws.amazon.com/lakeformation/aslf-data-engineer.

    2. Nella pagina Database, seleziona il databasecol_tag_database.

    3. Scegli Azione e Concedi.

    4. In Principi, seleziona Utenti e ruoli IAM.

    5. Per gli utenti e i ruoli IAM, sceglilf-data-analyst.

    6. Seleziona Risorse abbinate ai tag LF.

    7. Scegli Aggiungi tag LF.

    8. Per Key, scegli. Confidential

    9. Per Valori, scegliFalse.

    10. Per le autorizzazioni del database, selezionaDescribe.

    11. Per le autorizzazioni relative alle tabelle, non selezionate nulla.

    12. Scegli Concessione.

  3. Quindi, ripeti i passaggi per concedere le autorizzazioni agli analisti di dati per l'espressione LF-tag per e. Confidential=False Sensitive=True Questo tag LF viene utilizzato per descrivere la tabella col_tag_database e source_data_col_lvl (a livello di colonna) quando si effettua l'accesso da Amazon Athena. lf-data-analyst

    1. Accedi alla console di Lake Formation all'indirizzo https://console.aws.amazon.com/lakeformation/aslf-data-engineer.

    2. Nella pagina Database, seleziona il databasecol_tag_database.

    3. Scegli Azione e Concedi.

    4. In Principi, seleziona Utenti e ruoli IAM.

    5. Per gli utenti e i ruoli IAM, sceglilf-data-analyst.

    6. Seleziona Risorse abbinate ai tag LF.

    7. Scegli Aggiungi tag LF.

    8. Per Key, scegli. Confidential

    9. Per Valori, scegliFalse.

    10. Scegli Aggiungi tag LF.

    11. Per Key, scegli. Sensitive

    12. Per Valori, scegliTrue.

    13. Per le autorizzazioni del database, selezionaDescribe.

    14. Per le autorizzazioni relative alle tabelle, seleziona Select e. Describe

    15. Scegli Concessione.

Passaggio 5: esegui una query in Amazon Athena per verificare le autorizzazioni

Per questo passaggio, usa Amazon Athena per eseguire SELECT query sulle due tabelle. (source_data and source_data_col_lvl) Usa il percorso Amazon S3 come posizione dei risultati della query. (s3://lf-tagbased-demo-Account-ID/athena-results/)

  1. Accedi alla console Athena all'indirizzo https://console.aws.amazon.com/athena/as. lf-data-analyst

  2. Nell'editor di query Athena, scegli tag_database nel pannello a sinistra.

  3. Scegliete l'icona delle opzioni di menu aggiuntive (tre punti verticali) accanto source_data e scegliete la tabella di anteprima.

  4. Scegli Esegui query.

    L'esecuzione della query dovrebbe richiedere alcuni minuti. La query visualizza tutte le colonne dell'output perché il tag LF è associato a livello di database e la source_data tabella lo eredita automaticamente LF-tag dal database. tag_database

  5. Esegui un'altra query utilizzando e. col_tag_database source_data_col_lvl

    La seconda query restituisce le due colonne contrassegnate come Non-Confidential eSensitive.

  6. Puoi anche controllare il comportamento della politica di accesso basata sui tag di Lake Formation nelle colonne per le quali non hai concessioni politiche. Quando viene selezionata una colonna senza tag dalla tabella, source_data_col_lvl Athena restituisce un errore. Ad esempio, puoi eseguire la seguente query per scegliere colonne senza tag: geolocationid

    SELECT geolocationid FROM "col_tag_database"."source_data_col_lvl" limit 10;

Fase 6: Pulizia delle risorse AWS

Per evitare addebiti indesiderati Account AWS, puoi eliminare le AWS risorse che hai utilizzato per questo tutorial.

  1. Accedi alla console di Lake Formation come lf-data-engineer ed elimina i database tag_database ecol_tag_database.

  2. Successivamente, accedi come lf-data-steward e ripulisci tutte le autorizzazioni LF-Tag, le autorizzazioni per i dati e le autorizzazioni per la localizzazione dei dati concesse in precedenza e che sono state concesse e. lf-data-engineer lf-data-analyst.

  3. Accedi alla console Amazon S3 come proprietario dell'account utilizzando le credenziali IAM che hai usato per distribuire lo stack. AWS CloudFormation

  4. Elimina i seguenti bucket:

    • lf-tagbased-demo-accesslogs-acct-id

    • lf-tagbased-demo-acct-id

  5. Accedi alla AWS CloudFormation console all'indirizzo https://console.aws.amazon.com/cloudformation ed elimina lo stack che hai creato. Attendi che lo stato dello stack cambi a. DELETE_COMPLETE