本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 基于属性的访问控制 在 AWS Lake Formation 中,您可以使用属于 IAM 标签的属性以及与 IAM 实体(例如角色和用户)关联的会话标签,授予对目录、数据库、表和数据筛选器等 AWS Glue Data Catalog 对象的访问权限。 有关使用会话标签的更多信息,请参阅用户指南中的 [assume-](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-role.html) role。 AWS CLI 基于属性的访问控制 (ABAC) 是一种基于属性定义权限的授权策略。 AWS 调用这些属性*标签*。您可以使用 ABAC 向同一账户或另一个账户中的主体授予对 Data Catalog 资源的访问权限。具有匹配 IAM 标签或会话标签键和值的任何 IAM 主体都可以获得资源的访问权限。您必须对资源拥有可授予的权限才能进行这些授予。 借助 ABAC,您可以同时向多个用户授予访问权限。当新用户加入组织时,可以根据其属性(例如工作职能或部门)自动确定他们对数据的访问权限,而无需管理员手动分配特定的角色或权限。通过使用属性,而不使用角色,ABAC 提供了一种更精简、更易维护的方式来管理不同系统和环境中的数据访问权限,最终增强数据治理和合规性。 有关定义属性的更多信息,请参阅[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。 有关限制、注意事项和支持的 AWS 区域的信息,请参阅[基于属性的访问控制注意事项、限制和支持的区域](abac-considerations.md)。 **Topics** + [使用属性授予权限的先决条件](abac-prerequisites.md) + [使用基于属性的访问控制来授予权限](abac-granting-permissions.md)