IAMとLake FormationはどちらもAWS上の権限管理サービスであり、デフォルトで自動的に有効化され有効になりますが、特に設定をしていないと存在を感じにくいかもしれません、特にLake Formation(以下LFと略します)通常は「透過的」ですが、リクエストごとに権限チェックを実行します。この記事では、両者の違いと関連性、特に湖形成の作用メカニズムについて詳しく紹介します。
1. 全体の紹介
次の図は、この 2 つの関係を非常によく説明しています。簡単に言うと、AWS では、ユーザーはリソースにアクセスしたいと考えています (ここでのリソースは、リソースに加えて、データベース、データ テーブル、および Glue データ カタログ上の S3 に限定されています) LF によって管理されていない)、ユーザーは 2 つの層の権限チェックを通過する必要があります。最初の層は IAM です。ユーザーの IAM ポリシーに、関連するライブラリとテーブルのメタデータおよび S3 パスにアクセスする権限がない場合、「 IAM チェックに合格した場合、LF は、LF レベルの権限設定に基づいて、現在のユーザーがターゲット リソースにアクセスする権利があるかどうかを再度チェックします。
多くのユーザーはすぐに「IAM は理解していますが、LF を設定したことがありません。LF も機能しますか?」と尋ねるかもしれません。なぜ私は LF に傍受されなかったのですか?この問題を説明するには、LF のデフォルトの動作を理解する必要があります。
2. 新しいライブラリ/テーブルに対する Lake Formation のデフォルト構成
新しいデータとテーブルを作成するたびに、LF の [権限] -> [データ レイクの権限] ページで確認できます。