屬性型存取控制

在 AWS Lake Formation 中，您可以使用與角色和使用者等 IAM 實體相關聯的 IAM 標籤和工作階段標籤屬性，授予目錄、資料庫、資料表和資料篩選條件等 AWS Glue Data Catalog 物件的存取權。

如需使用工作階段標籤的詳細資訊，請參閱《 AWS CLI 使用者指南》中的擔任角色。

屬性型存取控制 (ABAC) 是一種授權策略，可根據屬性定義許可。 會 AWS 呼叫這些屬性標籤。您可以使用 ABAC 將存取權授予相同帳戶或 Data Catalog 資源 上另一個帳戶中的主體。任何具有相符 IAM 標籤或工作階段標籤索引鍵和值的 IAM 主體都可以存取資源。您必須擁有資源的可授予許可，才能進行這些授予。

ABAC 可讓您同時將存取權授予多個使用者。當新使用者加入組織時，其對資料的存取可以根據其屬性自動決定，例如其任務職能或部門，而無需管理員手動指派特定角色或許可。透過使用屬性而非角色，ABAC 提供了更簡化且可維護的方式，來管理各種系統和環境的資料存取，最終增強了資料管理和合規性。

如需定義屬性的詳細資訊，請參閱使用 ABAC 授權根據屬性定義許可。

如需限制、考量和支援 AWS 區域的資訊，請參閱 屬性型存取控制考量事項、限制和支援的區域。