Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Referenz zu Personas und IAM Genehmigungen von Lake Formation
In diesem Abschnitt sind einige vorgeschlagene Lake Formation Formation-Personas und ihre vorgeschlagenen AWS Identity and Access Management (IAM) Berechtigungen aufgeführt. Informationen zu den Berechtigungen für Lake Formation finden Sie unterReferenz zu den Genehmigungen von Lake Formation.
AWS Lake Formation Personas
In der folgenden Tabelle sind die vorgeschlagenen AWS Lake Formation Personas aufgeführt.
Lake Formation Personas | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Persona | Beschreibung | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
IAMAdministrator (Superuser) | (Erforderlich) Benutzer, der IAM Benutzer und Rollen erstellen kann. Hat die AdministratorAccess AWS verwaltete Richtlinie. Hat alle Berechtigungen für alle Lake Formation Formation-Ressourcen. Kann Data Lake-Administratoren hinzufügen. Lake Formation Formation-Berechtigungen können nicht erteilt werden, wenn nicht auch ein Data Lake-Administrator benannt wurde. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Data Lake-Administrator | (Erforderlich) Benutzer, der Amazon S3 S3-Standorte registrieren, auf den Datenkatalog zugreifen, Datenbanken erstellen, Workflows erstellen und ausführen, anderen Benutzern Lake Formation Formation-Berechtigungen gewähren und AWS CloudTrail Protokolle einsehen kann. Hat weniger IAM Berechtigungen als der IAM Administrator, aber genug, um den Data Lake zu verwalten. Andere Data Lake-Administratoren können nicht hinzugefügt werden. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Administrator mit Schreibschutz | (Optional) Benutzer, der Prinzipale, Datenkatalogressourcen, Berechtigungen und AWS CloudTrail Protokolle anzeigen kann, ohne über die erforderlichen Berechtigungen für Aktualisierungen zu verfügen. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Dateningenieur | (Optional) Benutzer, der Datenbanken erstellen, Crawler und Workflows erstellen und ausführen und Lake Formation Formation-Berechtigungen für die von den Crawlern und Workflows erstellten Datenkatalogtabellen gewähren kann. Wir empfehlen, dass Sie alle Dateningenieure zu Datenbankerstellern machen. Weitere Informationen finden Sie unter Erstellen einer Datenbank. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Datenanalyst | (Optional) Benutzer, der Abfragen für den Data Lake ausführen kann, z. B. mit Amazon Athena. Hat nur genügend Berechtigungen, um Abfragen auszuführen. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Workflow-Rolle | (Erforderlich) Rolle, die einen Workflow im Namen eines Benutzers ausführt. Sie geben diese Rolle an, wenn Sie einen Workflow aus einem Blueprint erstellen. |
AWS verwaltete Richtlinien für Lake Formation
Mithilfe von AWS verwalteten Richtlinien und Inline-Richtlinien können Sie die AWS Identity and Access Management (IAM) -Berechtigungen gewähren, die für die Arbeit mit AWS Lake Formation diesen Richtlinien erforderlich sind. Die folgenden AWS verwalteten Richtlinien sind für Lake Formation verfügbar.
AWS verwaltete Richtlinie: AWSLakeFormationDataAdmin
AWSLakeFormationDataAdmin
Sie können Verbindungen AWSLakeFormationDataAdmin
zu Ihren Benutzern, Gruppen und Rollen herstellen.
Einzelheiten zur Genehmigung
CloudTrail
— Ermöglicht Prinzipalen das Einsehen von AWS CloudTrail Protokollen. Dies ist erforderlich, um etwaige Fehler bei der Einrichtung des Data Lake zu überprüfen.-
Glue
— Ermöglicht Prinzipalen das Anzeigen, Erstellen und Aktualisieren von Metadatentabellen und Datenbanken im Datenkatalog. Dazu gehören API Operationen, die mitGet
,List
,Create
Update
Delete
, undSearch
beginnen. Dies ist erforderlich, um die Metadaten der Data-Lake-Tabellen zu verwalten. IAM
— Ermöglicht Prinzipalen das Abrufen von Informationen über IAM Benutzer, Rollen und Richtlinien, die den Rollen zugeordnet sind. Dies ist erforderlich, damit der Datenadministrator IAM Benutzer und Rollen überprüfen und auflisten kann, um Lake Formation Formation-Berechtigungen zu gewähren.Lake Formation
— Gewährt Data Lake-Administratoren die erforderlichen Lake Formation Formation-Berechtigungen zur Verwaltung von Data Lakes.S3
— Ermöglicht Principals das Abrufen von Informationen über Amazon S3 S3-Buckets und deren Standorte, um den Datenstandort für Data Lakes einzurichten.
"Statement": [ { "Sid": "AWSLakeFormationDataAdminAllow", "Effect": "Allow", "Action": [ "lakeformation:*", "cloudtrail:DescribeTrails", "cloudtrail:LookupEvents", "glue:GetDatabase", "glue:GetDatabases", "glue:CreateDatabase", "glue:UpdateDatabase", "glue:DeleteDatabase", "glue:GetConnections", "glue:SearchTables", "glue:GetTable", "glue:CreateTable", "glue:UpdateTable", "glue:DeleteTable", "glue:GetTableVersions", "glue:GetPartitions", "glue:GetTables", "glue:ListWorkflows", "glue:BatchGetWorkflows", "glue:DeleteWorkflow", "glue:GetWorkflowRuns", "glue:StartWorkflowRun", "glue:GetWorkflow", "s3:ListBucket", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "iam:ListUsers", "iam:ListRoles", "iam:GetRole", "iam:GetRolePolicy" ], "Resource": "*" }, { "Sid": "AWSLakeFormationDataAdminDeny", "Effect": "Deny", "Action": [ "lakeformation:PutDataLakeSettings" ], "Resource": "*" } ] }
Anmerkung
Die AWSLakeFormationDataAdmin
Richtlinie gewährt Data Lake-Administratoren nicht alle erforderlichen Berechtigungen. Zusätzliche Berechtigungen sind erforderlich, um Workflows zu erstellen und auszuführen und Standorte mit der serviceverknüpften Rolle zu registrierenAWSServiceRoleForLakeFormationDataAccess
. Weitere Informationen erhalten Sie unter Erstellen Sie einen Data Lake-Administrator und Verwenden von serviceverknüpften Rollen für Lake Formation.
AWS verwaltete Richtlinie: AWSLakeFormationCrossAccountManager
AWSLakeFormationCrossAccountManager
Sie können Verbindungen AWSLakeFormationCrossAccountManager
zu Ihren Benutzern, Gruppen und Rollen herstellen.
Einzelheiten zur Genehmigung
Diese Richtlinie umfasst die folgenden Berechtigungen.
Glue
— Ermöglicht Prinzipalen, die Datenkatalog-Ressourcenrichtlinie für die Zugriffskontrolle festzulegen oder zu löschen.Organizations
— Ermöglicht Prinzipalen das Abrufen von Informationen zu Konten und Organisationseinheiten (OU) für eine Organisation.ram:CreateResourceShare
— Ermöglicht Prinzipalen das Erstellen einer Ressourcenfreigabe.ram:UpdateResourceShare
— Ermöglicht Prinzipalen, einige Eigenschaften der angegebenen Ressourcenfreigabe zu ändern.-
ram:DeleteResourceShare
— Ermöglicht Prinzipalen das Löschen der angegebenen Ressourcenfreigabe. ram:AssociateResourceShare
— Ermöglicht Prinzipalen das Hinzufügen der angegebenen Principals- und Ressourcenliste zu einer Ressourcenfreigabe.ram:DisassociateResourceShare
— Ermöglicht Prinzipalen, die angegebenen Prinzipale oder Ressourcen von der Teilnahme an der angegebenen Ressourcenfreigabe auszuschließen.ram:GetResourceShares
— Ermöglicht Prinzipalen das Abrufen von Details zu den Ressourcenfreigaben, die Ihnen gehören oder die für Sie gemeinsam genutzt wurden.ram:RequestedResourceType
— Ermöglicht Prinzipalen das Abrufen des Ressourcentyps (Datenbank, Tabelle oder Katalog).AssociateResourceSharePermission
— Ermöglicht Prinzipalen, die AWS RAM Berechtigung für einen Ressourcentyp hinzuzufügen oder zu ersetzen, der in einer Ressourcenfreigabe enthalten ist. Sie können jedem Ressourcentyp in der Ressourcenfreigabe genau eine Berechtigung zuordnen.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowCreateResourceShare", "Effect": "Allow", "Action": [ "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "ram:RequestedResourceType": [ "glue:Table", "glue:Database", "glue:Catalog" ] } } }, { "Sid": "AllowManageResourceShare", "Effect": "Allow", "Action": [ "ram:UpdateResourceShare", "ram:DeleteResourceShare", "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:GetResourceShares" ], "Resource": "*", "Condition": { "StringLike": { "ram:ResourceShareName": [ "LakeFormation*" ] } } }, { "Sid": "AllowManageResourceSharePermissions", "Effect": "Allow", "Action": [ "ram:AssociateResourceSharePermission" ], "Resource": "*", "Condition": { "StringLike": { "ram:PermissionArn": [ "arn:aws:ram::aws:permission/AWSRAMLFEnabled*" ] } } }, { "Sid": "AllowXAcctManagerPermissions", "Effect": "Allow", "Action": [ "glue:PutResourcePolicy", "glue:DeleteResourcePolicy", "organizations:DescribeOrganization", "organizations:DescribeAccount", "ram:Get*", "ram:List*" ], "Resource": "*" }, { "Sid": "AllowOrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent" ], "Resource": "*" } ] }
AWS verwaltete Richtlinie: AWSGlueConsoleFullAccess
AWSGlueConsoleFullAccess
Darüber hinaus AWS Glue und Lake Formation übernehmen die Service-Rolle, AWSGlueServiceRole
um den Zugriff auf verwandte Dienste zu ermöglichen, darunter Amazon Elastic Compute Cloud (AmazonEC2), Amazon Simple Storage Service (Amazon S3) und Amazon CloudWatch.
AWS managed policy:LakeFormationDataAccessServiceRolePolicy
Diese Richtlinie ist einer dienstbezogenen Rolle mit dem Namen zugeordnetServiceRoleForLakeFormationDataAccess
, die es dem Service ermöglicht, auf Ihre Anfrage hin Aktionen mit Ressourcen durchzuführen. Sie können diese Richtlinie nicht mit Ihren IAM Identitäten verknüpfen.
Diese Richtlinie ermöglicht es den in Lake Formation integrierten AWS Diensten wie Amazon Athena Amazon Redshift, die serviceverknüpfte Rolle zu verwenden, um Amazon S3 S3-Ressourcen zu ermitteln.
Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für Lake Formation.
Einzelheiten zur Genehmigung
Diese Richtlinie beinhaltet die folgende Genehmigung.
-
s3:ListAllMyBuckets
— Gibt eine Liste aller Buckets zurück, die dem authentifizierten Absender der Anfrage gehören.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LakeFormationDataAccessServiceRolePolicy", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": [ "arn:aws:s3:::*" ] } ] }
Lake Formation aktualisiert AWS verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Lake Formation an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen.
Änderung | Beschreibung | Datum |
---|---|---|
Die AWSLakeFormationCrossAccountManager Richtlinie von Lake Formation wurde aktualisiert. |
Lake Formation erweiterte die AWSLakeFormationCrossAccountManager |
März 2024 |
Die AWSLakeFormationDataAdmin Richtlinie von Lake Formation wurde aktualisiert. |
Lake Formation erweiterte die AWSLakeFormationDataAdmin |
März 2024 |
Die LakeFormationDataAccessServiceRolePolicy Richtlinie von Lake Formation wurde aktualisiert. |
Lake Formation erweiterte die LakeFormationDataAccessServiceRolePolicy |
Februar 2024 |
Die AWSLakeFormationCrossAccountManager Richtlinie von Lake Formation wurde aktualisiert. |
Lake Formation erweiterte die AWSLakeFormationCrossAccountManager |
Oktober 2023 |
Die AWSLakeFormationCrossAccountManager Richtlinie von Lake Formation wurde aktualisiert. |
Lake Formation hat die AWSLakeFormationCrossAccountManager |
6. Mai 2022 |
Lake Formation begann, Veränderungen zu verfolgen. | Lake Formation begann, Änderungen an seinen AWS verwalteten Richtlinien zu verfolgen. | 6. Mai 2022 |
Personas hat Berechtigungen vorgeschlagen
Im Folgenden sind die empfohlenen Berechtigungen für jede Persona aufgeführt. Der IAM Administrator ist nicht enthalten, da dieser Benutzer über alle Berechtigungen für alle Ressourcen verfügt.
Themen
Berechtigungen des Data Lake-Administrators
Wichtig
Ersetzen Sie in den folgenden Richtlinien <account-id>
durch eine gültige AWS Kontonummer und ersetzen <workflow_role>
mit dem Namen einer Rolle, die berechtigt ist, einen Workflow auszuführen, wie unter definiertBerechtigungen für Workflow-Rollen.
Richtlinientyp | Richtlinie |
---|---|
AWS verwaltete Richtlinien |
Informationen zu den optionalen AWS verwalteten Richtlinien finden Sie unterErstellen Sie einen Data Lake-Administrator. |
Inline-Richtlinie (zur Erstellung der dienstbezogenen Rolle Lake Formation) |
|
(Optional) Inline-Richtlinie (Passrole-Richtlinie für die Workflow-Rolle). Dies ist nur erforderlich, wenn der Data Lake-Administrator Workflows erstellt und ausführt. |
|
(Optional) Inline-Richtlinie (wenn Ihr Konto kontoübergreifende Lake Formation Formation-Berechtigungen gewährt oder erhält). Diese Richtlinie dient dazu, Einladungen zur gemeinsamen Nutzung von AWS RAM Ressourcen anzunehmen oder abzulehnen und Organisationen die Erteilung kontoübergreifender Berechtigungen zu ermöglichen. ram:EnableSharingWithAwsOrganization ist nur für Data Lake-Administratoren im AWS Organizations
Verwaltungskonto erforderlich. |
|
Administratorberechtigungen nur lesen
Richtlinientyp | Richtlinie |
---|---|
Inline-Richtlinie (einfach) |
|
Berechtigungen für Dateningenieure
Wichtig
Ersetzen Sie in den folgenden Richtlinien <account-id>
durch eine gültige AWS Kontonummer und ersetzen <workflow_role>
mit dem Namen der Workflow-Rolle.
Richtlinientyp | Richtlinie |
---|---|
AWS verwaltete Richtlinie | AWSGlueConsoleFullAccess |
Inline-Richtlinie (grundlegend) |
|
Inline-Richtlinie (für Operationen an kontrollierten Tabellen, einschließlich Operationen innerhalb von Transaktionen) |
|
Inline-Richtlinie (für die Zugriffskontrolle auf Metadaten mithilfe der Tag-Based Access Control (LF-TBAC) Methode von Lake Formation) |
|
Inline-Richtlinie (Passrolle-Richtlinie für die Workflow-Rolle) |
|
Berechtigungen für Datenanalysten
Richtlinientyp | Richtlinie |
---|---|
AWS verwaltete Richtlinie | AmazonAthenaFullAccess |
Inline-Richtlinie (grundlegend) |
|
(Optional) Inline-Richtlinie (für Operationen an kontrollierten Tabellen, einschließlich Operationen innerhalb von Transaktionen) |
|
Berechtigungen für Workflow-Rollen
Diese Rolle verfügt über die erforderlichen Berechtigungen, um einen Workflow auszuführen. Sie geben eine Rolle mit diesen Berechtigungen an, wenn Sie einen Workflow erstellen.
Wichtig
Ersetzen Sie in den folgenden Richtlinien <region>
durch eine gültige AWS Regionskennung (zum Beispielus-east-1
) <account-id>
mit einer gültigen AWS Kontonummer <workflow_role>
mit dem Namen der Workflow-Rolle und <your-s3-cloudtrail-bucket>
mit dem Amazon S3 S3-Pfad zu Ihren AWS CloudTrail Protokollen.
Richtlinientyp | Richtlinie |
---|---|
AWS verwaltete Richtlinie | AWSGlueServiceRole |
Inline-Richtlinie (Datenzugriff) |
|
Inline-Richtlinie (Passrolle-Richtlinie für die Workflow-Rolle) |
|
Inline-Richtlinie (für die Aufnahme von Daten außerhalb des Data Lake, AWS CloudTrail z. B. Logs) |
|