IAMpermisos necesarios para conceder o revocar los permisos de Lake Formation - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

IAMpermisos necesarios para conceder o revocar los permisos de Lake Formation

Todos los directores, incluido el administrador del lago de datos, necesitan los siguientes AWS Identity and Access Management (IAM) permisos para conceder o revocar los permisos del catálogo de AWS Lake Formation datos o los permisos de ubicación de datos con Lake Formation API o el: AWS CLI

  • lakeformation:GrantPermissions

  • lakeformation:BatchGrantPermissions

  • lakeformation:RevokePermissions

  • lakeformation:BatchRevokePermissions

  • glue:GetTable o glue:GetDatabase para una tabla o base de datos a la que esté concediendo permisos con el método de recursos con nombre.

nota

Los administradores del lago de datos tienen permisos implícitos de Lake Formation para conceder y revocar permisos de Lake Formation. Pero aún necesitan los IAM permisos para conceder y revocar las API operaciones de Lake Formation.

IAMlos roles con una política AWSLakeFormationDataAdmin AWS administrada no pueden agregar nuevos administradores de lagos de datos porque esta política contiene una denegación explícita de la API operación de Lake Formation,PutDataLakeSetting.

Se recomienda la siguiente IAM política para los directores que no son administradores de lagos de datos y que desean conceder o revocar permisos mediante la consola de Lake Formation.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:ListPermissions",
                "lakeformation:GrantPermissions",
                "lakeformation:BatchGrantPermissions",
                "lakeformation:RevokePermissions",
                "lakeformation:BatchRevokePermissions",
                "glue:GetDatabases",
                "glue:SearchTables",
                "glue:GetTables",
                "glue:GetDatabase",
                "glue:GetTable",
                "iam:ListUsers",
                "iam:ListRoles",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "sso:DescribeInstance"
            ],
            "Resource": "*"
        }
    ]
}

Todos los iam: permisos glue: de esta política están disponibles en la política AWS administrada. AWSGlueConsoleFullAccess

Para conceder permisos mediante el control de acceso basado en etiquetas (LF-TBAC) de Lake Formation, los directores necesitan permisos adicionalesIAM. Para obtener más información, consulte Prácticas recomendadas y consideraciones sobre el control de acceso basado en etiquetas de Lake Formation y Referencia de personas y IAM permisos de Lake Formation.

Permisos entre cuentas

Los usuarios que quieran conceder permisos de Lake Formation para varias cuentas mediante el método de recurso con nombre asignado también deben tener los permisos en la política AWSLakeFormationCrossAccountManager AWS gestionada.

Los administradores del lago de datos necesitan esos mismos permisos para conceder permisos entre cuentas, además del permiso AWS Resource Access Manager (AWS RAM) para permitir la concesión de permisos a las organizaciones. Para obtener más información, consulte Permisos de administrador del lago de datos.

El usuario administrativo

Un director con permisos administrativos (por ejemplo, con la política AdministratorAccess AWS gestionada) tiene permisos para conceder permisos a Lake Formation y crear administradores de lagos de datos. Para denegar a un usuario o rol el acceso a las operaciones del administrador de Lake Formation, adjunte o añada a su política una Deny declaración para API las operaciones del administrador.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "lakeformation:GetDataLakeSettings",
                "lakeformation:PutDataLakeSettings"
            ],
            "Effect": "Deny",
            "Resource": [
                "*"
            ]
        }
    ]
}
importante

Para evitar que los usuarios se añadan a sí mismos como administradores con un script de extracción, transformación y carga (ETL), asegúrese de que a todos los usuarios y roles que no sean administradores se les deniegue el acceso a estas API operaciones. La política AWSLakeFormationDataAdmin AWS gestionada contiene una denegación explícita de la API operación de Lake Formation, PutDataLakeSetting que impide que los usuarios agreguen nuevos administradores de lagos de datos.