本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Lake Formation 許可概觀
AWS Lake Formation中有兩種主要類型的權限:
-
中繼資料存取 – Data Catalog 資源的許可 (Data Catalog 許可)。
這些許可可讓主體在 Data Catalog 中建立、讀取、更新和刪除中繼資料資料庫和資料表。
-
基礎資料存取 – Amazon Simple Storage Service (Amazon S3) 中位置的許可 (資料存取許可和資料位置許可)。
-
資料湖許可可讓主體讀取和寫入資料到基礎 Amazon S3 位置,資料目錄資源指向該資料。
-
資料位置許可可讓主體建立和修改指向特定 Amazon S3 位置的中繼資料資料庫和資料表。
-
對於這兩個區域,Lake Formation 會使用 Lake Formation 許可和 AWS Identity and Access Management (IAM) 許可的組合。IAM 許可模型包含 IAM 政策。Lake Formation 許可模型會實作為 DBMS 樣式的 GRANT/REVOKE 命令,例如 Grant SELECT on tableName to userName。
當委託人提出存取 Data Catalog 資源或基礎資料的請求時,若要成功請求,必須同時通過 IAM 和 Lake Formation 的許可檢查。
Lake Formation 許可控制對 Data Catalog 資源、Amazon S3 位置和這些位置基礎資料的存取。IAM 許可控制對 Lake Formation 和 AWS Glue APIs存取。因此,雖然您可能擁有 Lake Formation 在 Data Catalog (CREATE_TABLE) 中建立中繼資料表的許可,但如果您沒有 glue:CreateTable API 上的 IAM 許可,您的操作會失敗。(為什麼要有glue:許可? 因為 Lake Formation 使用 AWS Glue Data Catalog。)
注意
Lake Formation 許可僅適用於授予許可的 區域。
AWS Lake Formation 需要授權每個委託人 (使用者或角色) 在 Lake Formation 受管資源上執行動作。資料湖管理員或其他具有授予 Lake Formation 許可的委託人會獲得必要的授權。
當您將 Lake Formation 許可授予委託人時,您可以選擇性地將該許可授予其他委託人。
您可以使用 Lake Formation API、 AWS Command Line Interface (AWS CLI) 或 Lake Formation 主控台的資料許可和資料位置頁面來授予和撤銷 Lake Formation 許可。
