Granular access control in AWS Lake Formation (for Offline Feature Store)
title: “AWS Lake Formation中的细粒度访问控制(用于离线特征存储)” weight: 8
为了满足安全性和合规性需求,您可能需要对如何访问这些共享的ML特征进行细粒度控制。这些需求通常超出了表级和列级访问控制,需要单独的行级访问控制。例如,您可能希望让客户代表只能看到销售表中属于他们客户的行,并掩盖敏感数据(如信用卡号码)的前缀。需要细粒度访问控制来保护特征存储数据,并根据个人角色授予访问权限。这对于需要审核特征数据访问并确保适当安全级别的行业客户和利益相关者尤为重要。
在本笔记本中,我们概述了如何使用Amazon SageMaker Feature Store和AWS Lake Formation 对存储在离线特征存储中的特征组和特征实现细粒度访问控制。
以下架构使用Lake Formation实现行级、列级或单元格级访问控制,以限制Amazon SageMaker Studio中工作的数据科学家可以访问的特征组或特征组内的特征。虽然我们重点关注限制Studio中工作的用户的访问,但同样的方法也适用于使用Amazon Athena 等服务访问离线特征存储的用户。
使用AWS Lake Formation设置对离线特征存储的细粒度访问控制 使用SageMaker Studio测试访问控制 清理Lake Formation中的访问控制
注意:此模块依赖于模块1 中准备的数据集。
关键要点
-
我们使用AWS Lake Formation设置对离线特征存储的细粒度访问控制(您需要在IAM中创建一个Lake Formation管理员用户并以该管理员用户身份登录)。
-
我们将使用SageMaker Studio测试访问控制,最后清理Lake Formation中的访问控制。
导航到笔记本
-
导航到主目录amazon-sagemaker-feature-store-end-to-end-workshop Jupyter Lab目录结构。然后导航到09-module-security\09-01-granular-access-control-lake-formation-online并按顺序运行以下笔记本:m9_01_nb0_row_cell_level_access_lf_setup.ipynb(用于设置),m9_01_nb1_row_cell_level_access_test.ipynb(用于测试),m9_01_nb2_row_cell_level_access_clean_up.ipynb(用于清理)。
-
将内核设置为Python 3(Data Science)并选择实例为ml.t3.medium
-
通过在每个单元格中按Shift+Enter执行单元格。代码运行时,方括号之间会出现*。几秒钟后,代码执行将完成,*将被替换为一个数字。
-
您可以按照笔记本中的说明继续操作。