更新时间:2024-02-01 GMT+08:00

身份认证与访问控制

身份认证

  • Console界面本租户IAM用户访问LakeFormation。

    LakeFormation针对界面下发的HTTPS请求中IAM Token进行认证,识别出租户、IAM用户等身份。认证失败则拒绝请求。

  • Console界面其他租户IAM用户切换到本租户的委托角色来访问LakeFormation。

    LakeFormation针对界面下发的HTTPS请求中IAM Token进行认证,识别出委托方租户、委托、被委托方租户、被委托方IAM用户等身份。认证失败则拒绝请求。

  • 其他云服务(如MRS)的实例或集群以本租户的委托身份来访问LakeFormation。

    LakeFormation针对界面下发的HTTPS请求中IAM Token进行认证,识别出委托方租户(本租户)、委托、被委托方租户(ECS云服务账号)、被委托方IAM用户(ECS云服务内置用户)等身份。认证失败则拒绝请求。

资产的访问控制

  • 元数据信息的访问控制

    LakeFormation实例针对Console或其他云服务的元数据访问请求,在经过身份认证后,首先进行IAM鉴权,检查用户是否具备请求中的元数据操作权限,接着再进行细粒度的鉴权,检查用户是否具备针对请求中的具体元数据的请求操作权限。鉴权失败则拒绝请求。

  • 数据权限策略信息的访问控制

    LakeFormation实例针对Console或其他云服务的元数据访问请求,在经过身份认证后,进行IAM鉴权,检查用户是否具备请求中的权限策略操作权限。鉴权失败则拒绝请求。