IAMBerechtigungen, die erforderlich sind, um Lake Formation Formation-Berechtigungen zu erteilen oder zu widerrufen - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMBerechtigungen, die erforderlich sind, um Lake Formation Formation-Berechtigungen zu erteilen oder zu widerrufen

Alle Principals, einschließlich des Data Lake-Administrators, benötigen die folgenden AWS Identity and Access Management (IAM) Berechtigungen, um AWS Lake Formation Datenkatalogberechtigungen oder Datenstandortberechtigungen mit der Lake Formation oder dem zu erteilen API oder zu widerrufen: AWS CLI

  • lakeformation:GrantPermissions

  • lakeformation:BatchGrantPermissions

  • lakeformation:RevokePermissions

  • lakeformation:BatchRevokePermissions

  • glue:GetTableoder glue:GetDatabase für eine Tabelle oder Datenbank, der Sie mithilfe der benannten Ressourcenmethode Berechtigungen gewähren.

Anmerkung

Data Lake-Administratoren verfügen über implizite Lake Formation Formation-Berechtigungen, um Lake Formation Formation-Berechtigungen zu gewähren und zu widerrufen. Aber sie benötigen immer noch die IAM Genehmigungen für die Lake Formation, um API Operationen zu gewähren und zu widerrufen.

IAMRollen mit AWSLakeFormationDataAdmin AWS verwalteten Richtlinien können keine neuen Data Lake-Administratoren hinzufügen, da diese Richtlinie eine ausdrückliche Ablehnung des Lake Formation API Formation-Vorgangs enthält,PutDataLakeSetting.

Die folgende IAM Richtlinie wird für Principals empfohlen, die keine Data Lake-Administratoren sind und Berechtigungen mithilfe der Lake Formation Formation-Konsole gewähren oder entziehen möchten.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:ListPermissions",
                "lakeformation:GrantPermissions",
                "lakeformation:BatchGrantPermissions",
                "lakeformation:RevokePermissions",
                "lakeformation:BatchRevokePermissions",
                "glue:GetDatabases",
                "glue:SearchTables",
                "glue:GetTables",
                "glue:GetDatabase",
                "glue:GetTable",
                "iam:ListUsers",
                "iam:ListRoles",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "sso:DescribeInstance"
            ],
            "Resource": "*"
        }
    ]
}

Alle in dieser Richtlinie iam: enthaltenen Berechtigungen sind in der AWS verwalteten Richtlinie AWSGlueConsoleFullAccess verfügbar. glue:

Um Berechtigungen mithilfe der tagbasierten Zugriffskontrolle (LF-TBAC) von Lake Formation zu gewähren, benötigen Principals zusätzliche IAM Berechtigungen. Weitere Informationen erhalten Sie unter Bewährte Methoden und Überlegungen zur Tag-basierten Zugriffskontrolle von Lake Formation und Referenz zu Personas und IAM Genehmigungen von Lake Formation.

Kontoübergreifende -Berechtigungen

Benutzer, die mithilfe der benannten Ressourcenmethode kontenübergreifende Lake Formation Formation-Berechtigungen gewähren möchten, müssen auch über die Berechtigungen in der AWSLakeFormationCrossAccountManager AWS verwalteten Richtlinie verfügen.

Data Lake-Administratoren benötigen dieselben Berechtigungen für die Gewährung kontoübergreifender Berechtigungen sowie die Berechtigung AWS Resource Access Manager (AWS RAM), um Organisationen Berechtigungen gewähren zu können. Weitere Informationen finden Sie unter Berechtigungen des Data Lake-Administrators.

Der Benutzer mit Administratorrechten

Ein Principal mit Administratorberechtigungen — z. B. mit der AdministratorAccess AWS verwalteten Richtlinie — hat die Berechtigung, Lake Formation Formation-Berechtigungen zu erteilen und Data Lake-Administratoren zu erstellen. Um einem Benutzer oder einer Rolle den Zugriff auf Lake Formation-Administratoroperationen zu verweigern, fügen Sie der Richtlinie eine Deny Erklärung für API Administratorvorgänge bei oder fügen Sie sie der Richtlinie hinzu.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "lakeformation:GetDataLakeSettings",
                "lakeformation:PutDataLakeSettings"
            ],
            "Effect": "Deny",
            "Resource": [
                "*"
            ]
        }
    ]
}
Wichtig

Um zu verhindern, dass Benutzer sich mit einem Extract-, Transform- und Load (ETL) -Skript als Administrator hinzufügen, stellen Sie sicher, dass allen Benutzern und Rollen, die keine Administratoren sind, der Zugriff auf diese API Operationen verweigert wird. Die AWSLakeFormationDataAdmin AWS verwaltete Richtlinie enthält eine ausdrückliche Ablehnung des Lake Formation API Formation-Vorgangs, PutDataLakeSetting sodass Benutzer keine neuen Data Lake-Administratoren hinzufügen können.