Permisos implícitos de Lake Formation
AWS Lake Formation concede las siguientes concesiones implícitas a los administradores del lago de datos, a los creadores de bases de datos y a los creadores de tablas.
- Administrador de lago de datos
-
-
Tener acceso de
Describe
a todos los recursos del Catálogo de datos excepto a los recursos compartidos desde otra cuenta directamente a otra entidad principal. Este acceso no puede ser revocado por un administrador. -
Disponga de permisos de ubicación de datos en todas las partes del lago de datos.
-
Puede conceder o revocar el acceso a cualquier recurso del Catálogo de datos a cualquier entidad principal (incluida la propia). Este acceso no puede ser revocado por un administrador.
-
Puede crear bases de datos en el Catálogo de datos.
-
Puede conceder el permiso para crear una base de datos a otro usuario.
nota
Los administradores del lago de datos pueden registrar ubicaciones de Amazon S3 solo si disponen de permisos de IAM para hacerlo. Las políticas del administrador del lago de datos sugeridas en esta guía conceden esos permisos. Además, los administradores del lago de datos no tienen permisos implícitos para eliminar bases de datos o alterar/eliminar tablas creadas por otros. Sin embargo, pueden concederse a sí mismos permisos para hacerlo.
Para obtener más información sobre los administradores del lago de datos, consulte Crear un administrador de lago de datos.
-
- Creadores de bases de datos
-
-
Tienen todos los permisos sobre las bases de datos que crean, tienen permisos sobre las tablas que crean en la base de datos y pueden conceder a otras entidades principales de la misma cuenta AWS permiso para crear tablas en la base de datos. Un creador de bases de datos que también disponga de la política administrada
AWSLakeFormationCrossAccountManager
de AWS puede conceder permisos sobre la base de datos a otras cuentas AWS u organizaciones.Los administradores del lago de datos pueden utilizar la consola de Lake Formation o la API para designar a los creadores de las bases de datos.
nota
Los creadores de bases de datos no tienen permisos implícitos sobre las tablas que otros crean en la base de datos.
Para obtener más información, consulte Creación de una base de datos.
-
- Creadores de tablas
-
-
Tienen todos los permisos sobre las tablas que crean.
-
Pueden conceder permisos sobre todas las tablas que creen a las entidades principales de la misma cuenta AWS.
-
Pueden conceder permisos sobre todas las tablas que creen a otras cuentas de AWS u organizaciones si disponen de la política administrada
AWSLakeFormationCrossAccountManager
de AWS. -
Pueden ver las bases de datos que contienen las tablas que crean.
-