View a markdown version of this page

Gerenciando LF-Tag expressões para controle de acesso a metadados - AWS Lake Formation

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando LF-Tag expressões para controle de acesso a metadados

LF-Tag expressões são expressões lógicas compostas por um ou mais LF-Tags (pares de valores-chave) usadas para conceder permissões em AWS Glue Data Catalog recursos. LF-Tag expressões permitem que você defina regras que controlam o acesso aos seus recursos de dados com base em suas tags de metadados. É possível salvar essas expressões e reutilizá-las em várias concessões de permissão, garantindo a consistência e facilitando o gerenciamento de alterações na ontologia de tags ao longo do tempo.

Em uma determinada LF-Tag expressão, as chaves de tag são combinadas usando a operação AND, enquanto os valores são combinados usando a operação OR. Por exemplo, a expressão de tag content_type:Sales AND location:US representa recursos relacionados aos dados de vendas nos EUA.

Você pode criar até 1000 LF-Tag expressões em um Conta da AWS. Essas expressões proporcionam uma forma flexível e escalável de gerenciar permissões com base em tags de metadados, garantindo que somente usuários ou aplicações autorizados possam acessar recursos de dados específicos com base nas regras de tag definidas.

LF-Tag as expressões oferecem os seguintes benefícios:

  • Reutilização — Ao definir e salvar LF-Tag expressões, você não precisa mais replicar manualmente as mesmas expressões ao atribuir permissões a outros recursos ou entidades principais.

  • Consistência — A reutilização de LF-Tag expressões em várias concessões de permissão garante a consistência na forma como as permissões são concedidas e gerenciadas.

  • Gerenciamento de ontologia de tags — LF-Tag as expressões ajudam a gerenciar as alterações na ontologia de tags ao longo do tempo, pois você pode atualizar as expressões salvas em vez de modificar as permissões individuais.

Para acessar mais informações sobre o controle de acesso baseado em tags, consulte Controle de acesso baseado em tags do Lake Formation.

LF-Tag criadores de expressões

LF-Tag O criador de expressões é um diretor que tem permissões para criar e gerenciar LF-Tag expressões. Os administradores do Data Lake podem adicionar criadores de LF-Tag expressões usando o console, a CLI, a API ou o SDK do Lake Formation. LF-Tag os criadores de expressões têm permissões implícitas do Lake Formation para criar, atualizar e excluir LF-Tag expressões e para conceder permissões de LF-Tag expressão a outros diretores.

LF-Tag criadores de expressões que não são administradores de data lake recebem Grant with LF-Tag expression permissões implícitas AlterDrop,Describe, e somente para expressões que eles criaram.

Os administradores do data lake também podem conceder permissões LF-Tag concedidas aos criadores de expressões. Create LF-Tag expression Em seguida, o criador da LF-Tag expressão pode conceder a permissão para criar LF-Tag expressões para outros diretores.

Permissões do IAM necessárias para criar LF-Tag expressões

Você deve configurar permissões para permitir que um diretor do Lake Formation crie LF-Tag expressões. Adicione a seguinte declaração à política de permissões do diretor que precisa ser um criador de LF-Tag expressões.

nota

Embora os administradores do data lake tenham permissões implícitas do Lake Formation para criar, atualizar LF-Tags e excluir LF-Tag expressões, LF-Tags atribuir recursos e conceder LF-Tags e LF-Tag expressar permissão aos diretores, os administradores do data lake também precisam das seguintes permissões do IAM.

Para obter mais informações, consulte Referência de personas e permissões do IAM do Lake Formation.

{ "Sid": "Transformational", "Effect": "Allow", "Action": [ "lakeformation:AddLFTagsToResource", "lakeformation:RemoveLFTagsFromResource", "lakeformation:GetResourceLFTags", "lakeformation:ListLFTags", "lakeformation:CreateLFTag", "lakeformation:GetLFTag", "lakeformation:UpdateLFTag", "lakeformation:DeleteLFTag", "lakeformation:SearchTablesByLFTags", "lakeformation:SearchDatabasesByLFTags", "lakeformation:CreateLFTagExpression", "lakeformation:DeleteLFTagExpression", "lakeformation:UpdateLFTagExpression", "lakeformation:GetLFTagExpression", "lakeformation:ListLFTagExpressions", "lakeformation:GrantPermissions", "lakeformation:RevokePermissions", "lakeformation:BatchGrantPermissions", "lakeformation:BatchRevokePermissions" ] }

Adicione criadores de LF-Tag expressões

LF-Tag os criadores de expressões podem criar e salvar LF-Tag expressões reutilizáveis, atualizar a chave e os valores da tag, excluir expressões e conceder permissões nos recursos do Catálogo de Dados aos diretores usando o método. LF-TBAC O criador da LF-Tag expressão também pode conceder essas permissões aos diretores.

Você pode criar funções de criador de LF-Tag expressões usando o AWS Lake Formation console, a API ou o AWS Command Line Interface (AWS CLI).

console
Para adicionar um criador de LF-Tag expressão
  1. Abra o console do Lake Formation em https://console.aws.amazon.com/lakeformation/.

    Faça login como administrador de data lake.

  2. No painel de navegação, em Permissões, escolha LF-Tags e permissões.

  3. Escolha a guia de LF-Tag expressões.

  4. Na seção Criadores de LF-Tag expressões, escolha Adicionar criadores de LF-Tag expressões.

    LF-Tag contêiner de detalhes do criador de expressões mostrando Usuário do IAM datalake_user com permissões.
  5. Na página Adicionar criadores de LF-Tag expressões, escolha uma função ou usuário do IAM que tenha as permissões necessárias para criar LF-Tag expressões.

  6. Marque a caixa de seleção de permissão Create LF-Tag expression.

  7. (Opcional) Para permitir que as entidades principais selecionadas concedam a permissão Create LF-Tag expression às entidades principais, escolha a permissão Create LF-Tag expression concedível.

  8. Escolha Adicionar.

AWS CLI
aws lakeformation grant-permissions --cli-input-json file://grantCreate { "Principal": { "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager" }, "Resource": { "Catalog": {} }, "Permissions": [ "CreateLFTagExpression" ], "PermissionsWithGrantOption": [ "CreateLFTagExpression" ] }

A função de criador de LF-Tag expressões tem a capacidade de criar, atualizar ou excluir LF-Tag expressões.

Permissão Description
Create Um diretor com essa permissão pode adicionar LF-Tag expressões no data lake.
Drop Um diretor com essa permissão em uma LF-Tag expressão pode excluir uma LF-Tag expressão do data lake.
Alter Um diretor com essa permissão em uma LF-Tag expressão pode atualizar o corpo da LF-Tag expressão.
Describe Um diretor com essa permissão em uma LF-Tag expressão pode visualizar o conteúdo de uma LF-Tag expressão.
Grant with LF-Tag expression Com essa permissão, o destinatário usa a expressão de tag como recurso ao conceder permissões de acesso a dados ou metadados. Conceder Grant with LF-Tag expression concede implicitamente Describe.
Super Para LF-Tag expressões, a Super permissão concede a capacidade deDescribe, AlterDrop, e concede permissões na expressão da tag a outros diretores.

Essas permissões são concedidas. Uma entidade principal que tenha recebido essas permissões com a opção de concessão pode concedê-las a outras entidades principais.