分析与搜索

使用 AWS Lake Formation 构建数据湖 - 细粒度访问控制与数据目录

通过列级和行级细粒度访问控制及基于标签的管理建立数据湖治理。介绍与 Glue Data Catalog 的集成及跨账户访问。

約 1 分で読めます

Lake Formation 概述

Lake Formation 是简化 S3 数据湖构建、管理和安全性的服务。传统上,S3 数据湖的访问控制通过 S3 存储桶策略和 IAM 策略的组合来管理,但列级和行级控制十分困难。Lake Formation 在数据库、表、列、行四个级别管理权限,可应对数千表规模的数据湖。与 Glue Data Catalog 完全集成,在统一的目录中管理表定义和权限。

访问控制与基于标签的管理

Lake Formation 的权限模型向主体(IAM 用户、角色)授予数据库、表、列的 SELECT、INSERT、DELETE 权限。行级过滤器可将访问限制为仅符合特定条件的行,实现按部门仅查看本部门数据的控制。LF-TBAC 为数据附加标签(如 sensitivity=high),基于标签表达式授予权限。当新表被添加相同标签时,权限自动继承,无需逐表设置。这在数百表规模的环境中大幅减少权限管理工作量。

跨账户访问与审计

Lake Formation 的跨账户共享可向 Organizations 内的其他账户授予表和数据库的访问权限。使用 RAM(Resource Access Manager)创建资源链接,在消费者账户的 Glue 目录中显示共享表。通过数据过滤器定义行级和单元格级访问控制,可对同一表向不同账户提供不同范围的数据。CloudTrail 集成记录所有数据访问的审计日志,满足合规要求。

Lake Formation 的定价与运维

Lake Formation 本身不产生额外费用。成本取决于底层 S3 存储、Glue 爬虫和作业、Athena 查询的使用费。使用 Lake Formation 的事务功能(Governed Tables)时,会产生事务 API 调用和存储的额外费用。引入 LF-TBAC 可大幅降低权限管理的运维成本,在大规模环境中效果尤为显著。

总结

Lake Formation 是为 S3 数据湖提供细粒度访问控制的服务。通过列级和行级权限管理及 LF-TBAC(基于标签的访问控制)提升大规模环境的权限管理效率,通过跨账户共享安全实现 Organizations 内的数据共享。CloudTrail 集成记录数据访问审计日志,构建数据治理基础。

相关服务

AWS Lake Formation简化数据湖构建、管理和安全的服务AWS Glue自动化数据抽取、转换和加载的无服务器 ETL 服务Amazon Athena使用 SQL 直接分析 S3 上数据的无服务器查询服务

相关文章

通过 Amazon DataZone 实现数据治理 - 数据的发现、共享与访问控制介绍构建基于域的数据目录,通过订阅工作流实现数据的发现、共享和访问控制的方法。使用 Amazon S3 和 Lake Formation 构建数据湖 - 设计模式与治理介绍以 S3 为存储基础、通过 Lake Formation 实现细粒度访问控制的数据湖设计模式。同时解说 ETL 管道与成本优化方案。数据湖治理 - 通过 AWS Lake Formation 实现集中式访问控制解说使用 AWS Lake Formation 构建数据湖、实现访问控制与治理的方法。介绍针对基于 S3 的数据湖的列级与行级细粒度权限管理,以及与 Glue、Athena 的集成。

本主题的更多内容

Amazon Quick 实践应用 - 部门级用例与工作流自动化设计模式具体介绍销售、IT、财务等各部门的应用场景,以及通过 Quick Flows 实现通知、审批、多阶段工作流的设计模式。BI 仪表板可视化 - 使用 Amazon QuickSight 构建数据驱动的决策基础介绍使用 Amazon QuickSight 构建交互式 BI 仪表板,以及与 Athena 联动的无服务器数据分析基础。包括 SPICE 引擎的高速可视化和向全组织共享洞察的实践方法。构建区块链网络 - 使用 Amazon Managed Blockchain 与 QLDB 的分布式账本应用介绍使用 Amazon Managed Blockchain 构建区块链网络,以及使用 Amazon QLDB 实现可验证账本数据库的方法。包括供应链管理和金融交易透明性保障等实际使用场景。使用 AWS Clean Rooms 实现隐私保护型数据协作无需共享或复制数据即可在多企业间执行联合分析。介绍通过聚合规则防止个人识别以及通过 Cryptographic Computing 实现加密分析。客户 ID 统合 - 使用 AWS Entity Resolution 对分散的客户数据进行名称匹配详解使用 AWS Entity Resolution 进行客户数据的名称匹配(实体解析)。介绍基于机器学习的匹配、基于规则的匹配、隐私保护以及与 Clean Rooms 的集成。使用 AWS Data Exchange 活用第三方数据 - 数据采购与订阅管理通过 Marketplace 采购第三方数据产品,构建自动配送到 S3 的管道。介绍自有数据的产品化和变现方法。使用 Amazon S3 和 Lake Formation 构建数据湖 - 设计模式与治理介绍以 S3 为存储基础、通过 Lake Formation 实现细粒度访问控制的数据湖设计模式。同时解说 ETL 管道与成本优化方案。数据湖治理 - 通过 AWS Lake Formation 实现集中式访问控制解说使用 AWS Lake Formation 构建数据湖、实现访问控制与治理的方法。介绍针对基于 S3 的数据湖的列级与行级细粒度权限管理,以及与 Glue、Athena 的集成。

相似的文章与服务

数据湖治理 - 通过 AWS Lake Formation 实现集中式访问控制解说使用 AWS Lake Formation 构建数据湖、实现访问控制与治理的方法。介绍针对基于 S3 的数据湖的列级与行级细粒度权限管理,以及与 Glue、Athena 的集成。AWS Lake Formation统一管理数据湖的构建、管理和安全,为 S3 上的数据提供列级和行级精细访问控制的服务使用 Amazon S3 和 Lake Formation 构建数据湖 - 设计模式与治理介绍以 S3 为存储基础、通过 Lake Formation 实现细粒度访问控制的数据湖设计模式。同时解说 ETL 管道与成本优化方案。AWS 数据分析与数据湖 - Athena、Glue、Lake Formation、Redshift 的集成生态系统解析 AWS 的 Athena、Glue、Lake Formation、Redshift、QuickSight 构成的集成数据分析栈,与 Azure Synapse Analytics 和 GCP BigQuery 对比,阐述 AWS 在生态系统整体集成度方面的优势。