Amazon SageMaker 智能湖仓现在支持基于属性的访问权限控制

发布于: 2025年4月24日

Amazon SageMaker 智能湖仓现在支持基于属性的访问权限控制 (ABAC)，从而使用 AWS Identity and Access Management (IAM) 主体和会话标签来简化数据访问、授权创建和维护。借助 ABAC，您可以使用与用户身份相关的动态业务属性来管理权限。

以前，SageMaker 智能湖仓通过直接向 IAM 用户和 IAM 角色等特定主体分配权限来授予对湖仓库数据库和表的访问权限，随着用户数量的增加，这一过程可能很快变得难以控制。ABAC 现在允许管理员使用指定用户属性键和值的条件授予对资源的权限。这意味着任何具有匹配主体或会话标签键和值的 IAM 主体或 IAM 角色都将自动访问资源，从而提高体验效率。您可以通过 AWS Lake Formation 控制台使用 ABAC，在账户内和跨账户场景中为 IAM 用户和 IAM 角色提供访问权限。例如，管理员现在无需为每个开发人员创建单独的策略，只需为他们分配一个具有“team”等键和“developers”值的 IAM 标签，并通过一次权限授予向所有开发人员提供访问权限。当具有匹配的标签和值的新开发人员加入时，无需对策略进行额外的修改。

此功能现已在提供 SageMaker 智能湖仓的所有 AWS 区域推出。要开始使用，请阅读发布博客并阅读 ABAC 文档。