Referenz zu Personas und IAM Genehmigungen von Lake Formation - AWS Lake Formation
AWS Lake Formation PersonasAWS verwaltete Richtlinien für Lake FormationPersonas hat Berechtigungen vorgeschlagen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Referenz zu Personas und IAM Genehmigungen von Lake Formation

In diesem Abschnitt sind einige vorgeschlagene Lake Formation Formation-Personas und ihre vorgeschlagenen AWS Identity and Access Management (IAM) Berechtigungen aufgeführt. Informationen zu den Berechtigungen für Lake Formation finden Sie unterReferenz zu den Genehmigungen von Lake Formation.

AWS Lake Formation Personas

In der folgenden Tabelle sind die vorgeschlagenen AWS Lake Formation Personas aufgeführt.

Lake Formation Personas
Persona Beschreibung
IAMAdministrator (Superuser) (Erforderlich) Benutzer, der IAM Benutzer und Rollen erstellen kann. Hat die AdministratorAccess AWS verwaltete Richtlinie. Hat alle Berechtigungen für alle Lake Formation Formation-Ressourcen. Kann Data Lake-Administratoren hinzufügen. Lake Formation Formation-Berechtigungen können nicht erteilt werden, wenn nicht auch ein Data Lake-Administrator benannt wurde.
Data Lake-Administrator (Erforderlich) Benutzer, der Amazon S3 S3-Standorte registrieren, auf den Datenkatalog zugreifen, Datenbanken erstellen, Workflows erstellen und ausführen, anderen Benutzern Lake Formation Formation-Berechtigungen gewähren und AWS CloudTrail Protokolle einsehen kann. Hat weniger IAM Berechtigungen als der IAM Administrator, aber genug, um den Data Lake zu verwalten. Andere Data Lake-Administratoren können nicht hinzugefügt werden.
Administrator mit Schreibschutz (Optional) Benutzer, der Prinzipale, Datenkatalogressourcen, Berechtigungen und AWS CloudTrail Protokolle anzeigen kann, ohne über die erforderlichen Berechtigungen für Aktualisierungen zu verfügen.
Dateningenieur (Optional) Benutzer, der Datenbanken erstellen, Crawler und Workflows erstellen und ausführen und Lake Formation Formation-Berechtigungen für die von den Crawlern und Workflows erstellten Datenkatalogtabellen gewähren kann. Wir empfehlen, dass Sie alle Dateningenieure zu Datenbankerstellern machen. Weitere Informationen finden Sie unter Erstellen einer Datenbank.
Datenanalyst (Optional) Benutzer, der Abfragen für den Data Lake ausführen kann, z. B. mit Amazon Athena. Hat nur genügend Berechtigungen, um Abfragen auszuführen.
Workflow-Rolle (Erforderlich) Rolle, die einen Workflow im Namen eines Benutzers ausführt. Sie geben diese Rolle an, wenn Sie einen Workflow aus einem Blueprint erstellen.

AWS verwaltete Richtlinien für Lake Formation

Mithilfe von AWS verwalteten Richtlinien und Inline-Richtlinien können Sie die AWS Identity and Access Management (IAM) -Berechtigungen gewähren, die für die Arbeit mit AWS Lake Formation diesen Richtlinien erforderlich sind. Die folgenden AWS verwalteten Richtlinien sind für Lake Formation verfügbar.

AWS verwaltete Richtlinie: AWSLakeFormationDataAdmin

AWSLakeFormationDataAdminDie Richtlinie gewährt administrativen Zugriff auf AWS Lake Formation und damit verbundene Dienste, z. B. AWS Glue die Verwaltung von Data Lakes.

Sie können Verbindungen AWSLakeFormationDataAdmin zu Ihren Benutzern, Gruppen und Rollen herstellen.

Einzelheiten zur Genehmigung

  • CloudTrail— Ermöglicht Prinzipalen das Einsehen von AWS CloudTrail Protokollen. Dies ist erforderlich, um etwaige Fehler bei der Einrichtung des Data Lake zu überprüfen.

  • Glue— Ermöglicht Prinzipalen das Anzeigen, Erstellen und Aktualisieren von Metadatentabellen und Datenbanken im Datenkatalog. Dazu gehören API Operationen, die mitGet,List, Create UpdateDelete, und Search beginnen. Dies ist erforderlich, um die Metadaten der Data-Lake-Tabellen zu verwalten.

  • IAM— Ermöglicht Prinzipalen das Abrufen von Informationen über IAM Benutzer, Rollen und Richtlinien, die den Rollen zugeordnet sind. Dies ist erforderlich, damit der Datenadministrator IAM Benutzer und Rollen überprüfen und auflisten kann, um Lake Formation Formation-Berechtigungen zu gewähren.

  • Lake Formation— Gewährt Data Lake-Administratoren die erforderlichen Lake Formation Formation-Berechtigungen zur Verwaltung von Data Lakes.

  • S3— Ermöglicht Principals das Abrufen von Informationen über Amazon S3 S3-Buckets und deren Standorte, um den Datenstandort für Data Lakes einzurichten.

"Statement": [
        {
            "Sid": "AWSLakeFormationDataAdminAllow",
            "Effect": "Allow",
            "Action": [
                "lakeformation:*",
                "cloudtrail:DescribeTrails",
                "cloudtrail:LookupEvents",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:CreateDatabase",
                "glue:UpdateDatabase",
                "glue:DeleteDatabase",
                "glue:GetConnections",
                "glue:SearchTables",
                "glue:GetTable",
                "glue:CreateTable",
                "glue:UpdateTable",
                "glue:DeleteTable",
                "glue:GetTableVersions",
                "glue:GetPartitions",
                "glue:GetTables",
                "glue:ListWorkflows",
                "glue:BatchGetWorkflows",
                "glue:DeleteWorkflow",
                "glue:GetWorkflowRuns",
                "glue:StartWorkflowRun",
                "glue:GetWorkflow",
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:GetBucketAcl",
                "iam:ListUsers",
                "iam:ListRoles",
                "iam:GetRole",
                "iam:GetRolePolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AWSLakeFormationDataAdminDeny",
            "Effect": "Deny",
            "Action": [
                "lakeformation:PutDataLakeSettings"
            ],
                "Resource": "*"
        }
    ]
}
Anmerkung

Die AWSLakeFormationDataAdmin Richtlinie gewährt Data Lake-Administratoren nicht alle erforderlichen Berechtigungen. Zusätzliche Berechtigungen sind erforderlich, um Workflows zu erstellen und auszuführen und Standorte mit der serviceverknüpften Rolle zu registrierenAWSServiceRoleForLakeFormationDataAccess. Weitere Informationen erhalten Sie unter Erstellen Sie einen Data Lake-Administrator und Verwenden von serviceverknüpften Rollen für Lake Formation.

AWS verwaltete Richtlinie: AWSLakeFormationCrossAccountManager

AWSLakeFormationCrossAccountManagerDie Richtlinie ermöglicht den kontenübergreifenden Zugriff auf AWS Glue Ressourcen über Lake Formation und gewährt Lesezugriff auf andere erforderliche Dienste wie AWS Organizations und AWS RAM.

Sie können Verbindungen AWSLakeFormationCrossAccountManager zu Ihren Benutzern, Gruppen und Rollen herstellen.

Einzelheiten zur Genehmigung

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • Glue— Ermöglicht Prinzipalen, die Datenkatalog-Ressourcenrichtlinie für die Zugriffskontrolle festzulegen oder zu löschen.

  • Organizations— Ermöglicht Prinzipalen das Abrufen von Informationen zu Konten und Organisationseinheiten (OU) für eine Organisation.

  • ram:CreateResourceShare— Ermöglicht Prinzipalen das Erstellen einer Ressourcenfreigabe.

  • ram:UpdateResourceShare— Ermöglicht Prinzipalen, einige Eigenschaften der angegebenen Ressourcenfreigabe zu ändern.

  • ram:DeleteResourceShare— Ermöglicht Prinzipalen das Löschen der angegebenen Ressourcenfreigabe.

  • ram:AssociateResourceShare— Ermöglicht Prinzipalen das Hinzufügen der angegebenen Principals- und Ressourcenliste zu einer Ressourcenfreigabe.

  • ram:DisassociateResourceShare— Ermöglicht Prinzipalen, die angegebenen Prinzipale oder Ressourcen von der Teilnahme an der angegebenen Ressourcenfreigabe auszuschließen.

  • ram:GetResourceShares— Ermöglicht Prinzipalen das Abrufen von Details zu den Ressourcenfreigaben, die Ihnen gehören oder die für Sie gemeinsam genutzt wurden.

  • ram:RequestedResourceType— Ermöglicht Prinzipalen das Abrufen des Ressourcentyps (Datenbank, Tabelle oder Katalog).

  • AssociateResourceSharePermission— Ermöglicht Prinzipalen, die AWS RAM Berechtigung für einen Ressourcentyp hinzuzufügen oder zu ersetzen, der in einer Ressourcenfreigabe enthalten ist. Sie können jedem Ressourcentyp in der Ressourcenfreigabe genau eine Berechtigung zuordnen.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AllowCreateResourceShare",
            "Effect": "Allow",
            "Action": [
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringLikeIfExists": {
                    "ram:RequestedResourceType": [
                        "glue:Table",
                        "glue:Database",
                        "glue:Catalog"
                    ]
                }
            }
        },
        {
            "Sid": "AllowManageResourceShare",
            "Effect": "Allow",
            "Action": [
                "ram:UpdateResourceShare",
                "ram:DeleteResourceShare",
                "ram:AssociateResourceShare",
                "ram:DisassociateResourceShare",
                "ram:GetResourceShares"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:ResourceShareName": [
                        "LakeFormation*"
                    ]
                }
            }
        },
        {
            "Sid": "AllowManageResourceSharePermissions",
            "Effect": "Allow",
            "Action": [
                "ram:AssociateResourceSharePermission"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:PermissionArn": [
                        "arn:aws:ram::aws:permission/AWSRAMLFEnabled*"
                    ]
                }
            }
        },
        {
            "Sid": "AllowXAcctManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "glue:PutResourcePolicy",
                "glue:DeleteResourcePolicy",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "ram:Get*",
                "ram:List*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowOrganizationsPermissions",
            "Effect": "Allow",
            "Action": [
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        }
    ]
}

AWS verwaltete Richtlinie: AWSGlueConsoleFullAccess

AWSGlueConsoleFullAccessDie Richtlinie gewährt vollen Zugriff auf AWS Glue Ressourcen, wenn eine Identität, an die die Richtlinie angehängt ist, die verwendet AWS Management Console. Wenn Sie die Namenskonvention für Ressourcen befolgen, die in dieser Richtlinie angegeben sind, haben Benutzer alle Konsolenfunktionalitäten. Diese Richtlinie wird normalerweise Benutzern der AWS Glue Konsole zugewiesen.

Darüber hinaus AWS Glue und Lake Formation übernehmen die Service-Rolle, AWSGlueServiceRole um den Zugriff auf verwandte Dienste zu ermöglichen, darunter Amazon Elastic Compute Cloud (AmazonEC2), Amazon Simple Storage Service (Amazon S3) und Amazon CloudWatch.

AWS managed policy:LakeFormationDataAccessServiceRolePolicy

Diese Richtlinie ist einer dienstbezogenen Rolle mit dem Namen zugeordnetServiceRoleForLakeFormationDataAccess, die es dem Service ermöglicht, auf Ihre Anfrage hin Aktionen mit Ressourcen durchzuführen. Sie können diese Richtlinie nicht mit Ihren IAM Identitäten verknüpfen.

Diese Richtlinie ermöglicht es den in Lake Formation integrierten AWS Diensten wie Amazon Athena Amazon Redshift, die serviceverknüpfte Rolle zu verwenden, um Amazon S3 S3-Ressourcen zu ermitteln.

Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für Lake Formation.

Einzelheiten zur Genehmigung

Diese Richtlinie beinhaltet die folgende Genehmigung.

  • s3:ListAllMyBuckets— Gibt eine Liste aller Buckets zurück, die dem authentifizierten Absender der Anfrage gehören.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "LakeFormationDataAccessServiceRolePolicy",
			"Effect": "Allow",
			"Action": [
				"s3:ListAllMyBuckets"
			],
			"Resource": [
				"arn:aws:s3:::*"
			]
		}
	]
}
Lake Formation aktualisiert AWS verwaltete Richtlinien

Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Lake Formation an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen.

Änderung Beschreibung Datum
Die AWSLakeFormationCrossAccountManager Richtlinie von Lake Formation wurde aktualisiert. Lake Formation erweiterte die AWSLakeFormationCrossAccountManagerRichtlinie, indem sie der Grundsatzerklärung Sid-Elemente hinzufügte. März 2024
Die AWSLakeFormationDataAdmin Richtlinie von Lake Formation wurde aktualisiert. Lake Formation erweiterte die AWSLakeFormationDataAdminRichtlinie, indem sie der Grundsatzerklärung ein Sid-Element hinzufügte und eine überflüssige Maßnahme entfernte. März 2024
Die LakeFormationDataAccessServiceRolePolicy Richtlinie von Lake Formation wurde aktualisiert. Lake Formation erweiterte die LakeFormationDataAccessServiceRolePolicyRichtlinie, indem sie der Grundsatzerklärung ein Sid-Element hinzufügte. Februar 2024
Die AWSLakeFormationCrossAccountManager Richtlinie von Lake Formation wurde aktualisiert. Lake Formation erweiterte die AWSLakeFormationCrossAccountManagerRichtlinie um eine neue Berechtigung, um den kontoübergreifenden Datenaustausch im Hybridzugriffsmodus zu ermöglichen. Oktober 2023
Die AWSLakeFormationCrossAccountManager Richtlinie von Lake Formation wurde aktualisiert. Lake Formation hat die AWSLakeFormationCrossAccountManagerRichtlinie dahingehend erweitert, dass nur eine Ressourcenfreigabe pro Empfängerkonto erstellt wird, wenn die Ressource zum ersten Mal gemeinsam genutzt wird. Alle Ressourcen, die danach mit demselben Konto gemeinsam genutzt werden, werden derselben Ressourcenfreigabe zugeordnet. 6. Mai 2022
Lake Formation begann, Veränderungen zu verfolgen. Lake Formation begann, Änderungen an seinen AWS verwalteten Richtlinien zu verfolgen. 6. Mai 2022

Personas hat Berechtigungen vorgeschlagen

Im Folgenden sind die empfohlenen Berechtigungen für jede Persona aufgeführt. Der IAM Administrator ist nicht enthalten, da dieser Benutzer über alle Berechtigungen für alle Ressourcen verfügt.

Berechtigungen des Data Lake-Administrators

Wichtig

Ersetzen Sie in den folgenden Richtlinien <account-id> durch eine gültige AWS Kontonummer und ersetzen <workflow_role> mit dem Namen einer Rolle, die berechtigt ist, einen Workflow auszuführen, wie unter definiertBerechtigungen für Workflow-Rollen.

Richtlinientyp Richtlinie
AWS verwaltete Richtlinien

  • AWSLakeFormationDataAdmin

  • LakeFormationDataAccessServiceRolePolicy(Richtlinie für dienstbezogene Rollen)

  • AWSGlueConsoleFullAccess (Optional)

  • CloudWatchLogsReadOnlyAccess (Optional)

  • AWSLakeFormationCrossAccountManager (Optional)

  • AmazonAthenaFullAccess (Optional)

Informationen zu den optionalen AWS verwalteten Richtlinien finden Sie unterErstellen Sie einen Data Lake-Administrator.
Inline-Richtlinie (zur Erstellung der dienstbezogenen Rolle Lake Formation) 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "lakeformation.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::<account-id>:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess"
        }
    ]
}
(Optional) Inline-Richtlinie (Passrole-Richtlinie für die Workflow-Rolle). Dies ist nur erforderlich, wenn der Data Lake-Administrator Workflows erstellt und ausführt. 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/<workflow_role>"
            ]
        }
    ]
}
(Optional) Inline-Richtlinie (wenn Ihr Konto kontoübergreifende Lake Formation Formation-Berechtigungen gewährt oder erhält). Diese Richtlinie dient dazu, Einladungen zur gemeinsamen Nutzung von AWS RAM Ressourcen anzunehmen oder abzulehnen und Organisationen die Erteilung kontoübergreifender Berechtigungen zu ermöglichen. ram:EnableSharingWithAwsOrganizationist nur für Data Lake-Administratoren im AWS Organizations Verwaltungskonto erforderlich. 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:RejectResourceShareInvitation",
                "ec2:DescribeAvailabilityZones",
                "ram:EnableSharingWithAwsOrganization"
            ],
            "Resource": "*"
        }
    ]
}

Administratorberechtigungen nur lesen

Richtlinientyp Richtlinie
Inline-Richtlinie (einfach) 
{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "lakeformation:GetEffectivePermissionsForPath",
            "lakeformation:ListPermissions",
            "lakeformation:ListDataCellsFilter",
            "lakeformation:GetDataCellsFilter",
            "lakeformation:SearchDatabasesByLFTags",
            "lakeformation:SearchTablesByLFTags",
            "lakeformation:GetLFTag",
            "lakeformation:ListLFTags",
            "lakeformation:GetResourceLFTags",
            "lakeformation:ListLakeFormationOptins",
            "cloudtrail:DescribeTrails",
            "cloudtrail:LookupEvents",
            "glue:GetDatabase",
            "glue:GetDatabases",
            "glue:GetConnections",
            "glue:SearchTables",
            "glue:GetTable",
            "glue:GetTableVersions",
            "glue:GetPartitions",
            "glue:GetTables",
            "glue:GetWorkflow",
            "glue:ListWorkflows",
            "glue:BatchGetWorkflows",
            "glue:GetWorkflowRuns",
            "glue:GetWorkflow",
            "s3:ListBucket",
            "s3:GetBucketLocation",
            "s3:ListAllMyBuckets",
            "s3:GetBucketAcl",
            "iam:ListUsers",
            "iam:ListRoles",
            "iam:GetRole",
            "iam:GetRolePolicy"
         ],
         "Resource":"*"
      },
      {  
         "Effect":"Deny",
         "Action":[  
            "lakeformation:PutDataLakeSettings"
         ],
         "Resource":"*"
      }
   ]
}

Berechtigungen für Dateningenieure

Wichtig

Ersetzen Sie in den folgenden Richtlinien <account-id> durch eine gültige AWS Kontonummer und ersetzen <workflow_role> mit dem Namen der Workflow-Rolle.

Richtlinientyp Richtlinie
AWS verwaltete Richtlinie AWSGlueConsoleFullAccess
Inline-Richtlinie (grundlegend) 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess",
                "lakeformation:GrantPermissions",
                "lakeformation:RevokePermissions",
                "lakeformation:BatchGrantPermissions",
                "lakeformation:BatchRevokePermissions",
                "lakeformation:ListPermissions",
                "lakeformation:AddLFTagsToResource",
                "lakeformation:RemoveLFTagsFromResource",
                "lakeformation:GetResourceLFTags",
                "lakeformation:ListLFTags",
                "lakeformation:GetLFTag",
                "lakeformation:SearchTablesByLFTags",
                "lakeformation:SearchDatabasesByLFTags",
                "lakeformation:GetWorkUnits",
                "lakeformation:GetWorkUnitResults",
                "lakeformation:StartQueryPlanning",
                "lakeformation:GetQueryState",
                "lakeformation:GetQueryStatistics"
            ],
            "Resource": "*"
        }
    ]
}
Inline-Richtlinie (für Operationen an kontrollierten Tabellen, einschließlich Operationen innerhalb von Transaktionen) 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:StartTransaction",
                "lakeformation:CommitTransaction",
                "lakeformation:CancelTransaction",
                "lakeformation:ExtendTransaction",
                "lakeformation:DescribeTransaction",
                "lakeformation:ListTransactions",
                "lakeformation:GetTableObjects",
                "lakeformation:UpdateTableObjects",
                "lakeformation:DeleteObjectsOnCancel"
            ],
            "Resource": "*"
        }
    ]
}
Inline-Richtlinie (für die Zugriffskontrolle auf Metadaten mithilfe der Tag-Based Access Control (LF-TBAC) Methode von Lake Formation) 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:AddLFTagsToResource",
                "lakeformation:RemoveLFTagsFromResource",
                "lakeformation:GetResourceLFTags",
                "lakeformation:ListLFTags",
                "lakeformation:GetLFTag",
                "lakeformation:SearchTablesByLFTags",
                "lakeformation:SearchDatabasesByLFTags"
            ],
            "Resource": "*"
        }
    ]
}
Inline-Richtlinie (Passrolle-Richtlinie für die Workflow-Rolle) 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/<workflow_role>"
            ]
        }
    ]
}

Berechtigungen für Datenanalysten

Richtlinientyp Richtlinie
AWS verwaltete Richtlinie AmazonAthenaFullAccess
Inline-Richtlinie (grundlegend) 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess",
                "glue:GetTable",
                "glue:GetTables",
                "glue:SearchTables",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetPartitions",
                "lakeformation:GetResourceLFTags",
                "lakeformation:ListLFTags",
                "lakeformation:GetLFTag",
                "lakeformation:SearchTablesByLFTags",
                "lakeformation:SearchDatabasesByLFTags"                
           ],
            "Resource": "*"
        }
    ]
}
(Optional) Inline-Richtlinie (für Operationen an kontrollierten Tabellen, einschließlich Operationen innerhalb von Transaktionen) 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:StartTransaction",
                "lakeformation:CommitTransaction",
                "lakeformation:CancelTransaction",
                "lakeformation:ExtendTransaction",
                "lakeformation:DescribeTransaction",
                "lakeformation:ListTransactions",
                "lakeformation:GetTableObjects",
                "lakeformation:UpdateTableObjects",
                "lakeformation:DeleteObjectsOnCancel"
            ],
            "Resource": "*"
        }
    ]
}

Berechtigungen für Workflow-Rollen

Diese Rolle verfügt über die erforderlichen Berechtigungen, um einen Workflow auszuführen. Sie geben eine Rolle mit diesen Berechtigungen an, wenn Sie einen Workflow erstellen.

Wichtig

Ersetzen Sie in den folgenden Richtlinien <region> durch eine gültige AWS Regionskennung (zum Beispielus-east-1) <account-id> mit einer gültigen AWS Kontonummer <workflow_role> mit dem Namen der Workflow-Rolle und <your-s3-cloudtrail-bucket> mit dem Amazon S3 S3-Pfad zu Ihren AWS CloudTrail Protokollen.

Richtlinientyp Richtlinie
AWS verwaltete Richtlinie AWSGlueServiceRole
Inline-Richtlinie (Datenzugriff) 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Lakeformation",
            "Effect": "Allow",
            "Action": [
                 "lakeformation:GetDataAccess",
                 "lakeformation:GrantPermissions"
             ],
            "Resource": "*"
        }
    ]
}
Inline-Richtlinie (Passrolle-Richtlinie für die Workflow-Rolle) 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/<workflow_role>"
            ]
        }
    ]
}
Inline-Richtlinie (für die Aufnahme von Daten außerhalb des Data Lake, AWS CloudTrail z. B. Logs) 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject", "s3:ListBucket"],
            "Resource": ["arn:aws:s3:::<your-s3-cloudtrail-bucket>/*"]
        }
    ]
}