Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Standardmäßig können Data Lake-Administratoren LF-Tags erstellen, aktualisieren und löschen, Datenkatalogressourcen Tags zuweisen und Prinzipalen Tag-Berechtigungen gewähren. Wenn Sie die Tag-Erstellung und -Verwaltung an Prinzipale ohne Administratorrechte delegieren möchten, kann der Data Lake-Administrator LF-Tag-Erstellerrollen erstellen und Lake Formation Create LF-Tag Formation-Berechtigungen für die Rollen erteilen. Mit erteilbarer Create LF-Tag Genehmigung können LF-Tag-Ersteller Aufgaben zur Erstellung und Wartung von Tags an andere Personen delegieren, die keine Administratorrechte haben.
Damit Data Lake-Administratoren LF-Tags Datenkatalog-Ressourcen zuweisen können, müssen sie sich selbst assoziierte Rechte für LF-Tags gewähren, die nicht von ihnen erstellt wurden.
Anmerkung
Kontoübergreifende Genehmigungen können nur Berechtigungen beinhalten. Describe Associate Sie können Prinzipalen in einem anderen Konto keine DropAlter,, und Grant with LFTag expressions Berechtigungen gewährenCreate LF-Tag.
Themen
Weitere Informationen finden Sie auch unter
Für die Erstellung von LF-Tags sind IAM-Berechtigungen erforderlich
Sie müssen Berechtigungen konfigurieren, damit ein Lake Formation-Prinzipal LF-Tags erstellen kann. Fügen Sie der Berechtigungsrichtlinie für den Prinzipal, der ein LF-Tag-Ersteller sein muss, die folgende Anweisung hinzu.
Anmerkung
Data Lake-Administratoren verfügen zwar über implizite Lake Formation Formation-Berechtigungen, um LF-Tags zu erstellen, zu aktualisieren und zu löschen, Ressourcen LF-Tags zuzuweisen und Prinzipalen LF-Tags zu gewähren, aber Data Lake-Administratoren benötigen auch die folgenden IAM-Berechtigungen.
Weitere Informationen finden Sie unter Referenz zu Personas und IAM-Berechtigungen in Lake Formation.
{
"Sid": "Transformational",
"Effect": "Allow",
"Action": [
"lakeformation:AddLFTagsToResource",
"lakeformation:RemoveLFTagsFromResource",
"lakeformation:GetResourceLFTags",
"lakeformation:ListLFTags",
"lakeformation:CreateLFTag",
"lakeformation:GetLFTag",
"lakeformation:UpdateLFTag",
"lakeformation:DeleteLFTag",
"lakeformation:SearchTablesByLFTags",
"lakeformation:SearchDatabasesByLFTags"
]
}
Principals, die Ressourcen LF-Tags zuweisen und Prinzipalen LF-Tags gewähren, müssen über dieselben Berechtigungen verfügen, mit Ausnahme der Berechtigungen, und. CreateLFTag UpdateLFTag DeleteLFTag
Fügen Sie LF-Tag-Ersteller hinzu
Ein LF-Tag-Ersteller kann mithilfe der LF-TBAC-Methode ein LF-Tag erstellen, Tag-Schlüssel und -Werte aktualisieren, Tags löschen, Tags mit Datenkatalogressourcen verknüpfen und Prinzipalen Berechtigungen für Datenkatalog-Ressourcen gewähren. Der LF-Tag-Ersteller kann diese Berechtigungen auch Prinzipalen gewähren.
Sie können LF-Tag-Erstellerrollen mithilfe der AWS Lake Formation Konsole, der API oder der () erstellen. AWS Command Line Interface AWS CLI
Um einen LF-Tag-Ersteller hinzuzufügen
-
Öffnen Sie die Lake Formation Formation-Konsole unter https://console.aws.amazon.com/lakeformation/
. Melden Sie sich als Datalake-Administrator an.
-
Wählen Sie im Navigationsbereich unter Berechtigungen die Option LF-Tags und Berechtigungen aus.
Wählen Sie auf der Seite LF-Tags und Berechtigungen den Abschnitt LF-Tag-Ersteller und dann LF-Tag-Ersteller hinzufügen aus.
-
Wählen Sie auf der Seite „LF-Tag-Ersteller hinzufügen“ eine IAM-Rolle oder einen IAM-Benutzer aus, der über die erforderlichen Berechtigungen zum Erstellen von LF-Tags verfügt.
-
Kontrollkästchen „Berechtigung aktivieren“.
Create LF-Tag -
(Optional) Wählen Sie Grantable Permission aus, um den ausgewählten Prinzipalen die
Create LF-TagErlaubnis zu erteilen.Create LF-Tag -
Wählen Sie Hinzufügen aus.
Die folgenden Berechtigungen sind für eine LF-Tag-Ersteller-Rolle verfügbar:
| Berechtigung | Beschreibung |
|---|---|
Drop |
Ein Principal mit dieser Berechtigung für ein LF-Tag kann ein LF-Tag aus dem Data Lake löschen. Der Principal erhält implizite Describe Berechtigungen für alle Tag-Werte einer LF-Tag-Ressource. |
Alter |
Ein Principal mit dieser Berechtigung für ein LF-Tag kann einem LF-Tag Tag-Wert hinzufügen oder daraus entfernen. Der Principal erhält implizite Alter Berechtigungen für alle Tag-Werte eines LF-Tags. |
Describe |
Ein Principal mit dieser Berechtigung für ein LF-Tag kann das LF-Tag und seine Werte einsehen, wenn er Ressourcen LF-Tags zuweist oder Berechtigungen für LF-Tags erteilt. Sie können für alle Schlüsselwerte oder für bestimmte Werte gewährenDescribe. |
Associate |
Ein Principal mit dieser Berechtigung für ein LF-Tag kann das LF-Tag einer Datenkatalogressource zuweisen. Implizite Gewährung von Zuschüssen. Associate Describe |
Grant with LF-Tag expression |
Ein Principal mit dieser Berechtigung für ein LF-Tag kann mithilfe des LF-Tag-Schlüssels und der LF-Tag-Werte Berechtigungen für Datenkatalogressourcen gewähren. Implizite Gewährung von Zuschüssen. Grant
with LF-Tag expression Describe |
Diese Genehmigungen sind erteilbar. Ein Principal, dem diese Berechtigungen mit der Grant-Option erteilt wurden, kann sie anderen Prinzipalen gewähren.
