Ajouter des créateurs de LF-Tag - AWS Lake Formation
IAMautorisations requises pour créer des balises LFAjouter des créateurs de LF-Tag

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ajouter des créateurs de LF-Tag

Par défaut, les administrateurs des lacs de données peuvent créer, mettre à jour et supprimer des balises LF, attribuer des balises aux ressources du catalogue de données et accorder des autorisations de balises aux principaux. Si vous souhaitez déléguer les opérations de création et de gestion des balises à des administrateurs non administrateurs, l'administrateur du lac de données peut créer des rôles de créateur de balises LF et Create LF-Tag autoriser Lake Formation à accéder à ces rôles. Avec une Create LF-Tag autorisation pouvant être accordée, les créateurs de balises LF peuvent déléguer les tâches de création et de maintenance des balises à d'autres personnes non administratives.

Note

Les autorisations accordées entre comptes ne peuvent inclure que Describe des Associate autorisations. Vous ne pouvez pas accorder Create LF-TagDrop,Alter, et Grant with LFTag expressions autorisations aux principaux d'un autre compte.

Consultez aussi

IAMautorisations requises pour créer des balises LF

Vous devez configurer les autorisations pour permettre à un directeur de Lake Formation de créer des balises LF. Ajoutez la déclaration suivante à la politique d'autorisation pour le principal qui doit être un créateur de balises LF.

Note

Bien que les administrateurs des lacs de données disposent des autorisations implicites de Lake Formation pour créer, mettre à jour et supprimer des balises LF, pour attribuer des balises LF aux ressources et pour accorder des balises LF aux principaux, les administrateurs des lacs de données ont également besoin des autorisations suivantes. IAM

Pour de plus amples informations, veuillez consulter Référence des personnes et des IAM autorisations de Lake Formation.

{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags"
     ]
 }

Les principaux qui attribuent des balises LF aux ressources et accordent des balises LF aux principaux doivent avoir les mêmes autorisations, à l'exception des autorisations, et. CreateLFTag UpdateLFTag DeleteLFTag

Ajouter des créateurs de LF-Tag

Un créateur de balise LF peut créer une balise LF, mettre à jour la clé et les valeurs de balise, supprimer des balises, associer des balises aux ressources du catalogue de données et accorder des autorisations sur les ressources du catalogue de données aux principaux à l'aide de la méthode LF-. TBAC Le créateur du LF-Tag peut également accorder ces autorisations aux principaux.

Vous pouvez créer des rôles de créateur de balises LF à l'aide de la AWS Lake Formation consoleAPI, du ou du AWS Command Line Interface ()AWS CLI.

console
Pour ajouter un créateur de balises LF

  1. Ouvrez la console Lake Formation à l'adresse https://console.aws.amazon.com/lakeformation/.

    Connectez-vous en tant qu'administrateur du datalake.

  2. Dans le volet de navigation, sous Permissions, sélectionnez LF-Tags and permissions.

    Sur la page des balises LF et des autorisations, choisissez la section des créateurs de balises LF, puis choisissez Ajouter des créateurs de balises LF.

    LF-Tag creator details form with Utilisateur IAM selection and permission options.

  3. Sur la page Ajouter des créateurs de balises LF, choisissez un IAM rôle ou un utilisateur disposant des autorisations requises pour créer des balises LF.

  4. Activez Create LF-Tag la case à cocher d'autorisation.

  5. (Facultatif) Pour permettre aux principaux sélectionnés d'accorder des Create LF-Tag autorisations aux principaux, choisissez Autorisation accordable. Create LF-Tag

  6. Choisissez Ajouter.

AWS CLI
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTag"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTag"
    ]
}

Les autorisations disponibles pour un rôle de créateur de balises LF sont les suivantes :

Autorisation Description
Drop Un directeur disposant de cette autorisation sur un tag LF peut supprimer un tag LF du lac de données. Le principal obtient une Describe autorisation implicite sur toutes les valeurs de balise d'une ressource LF-Tag.
Alter Un directeur disposant de cette autorisation sur une balise LF peut ajouter ou supprimer une valeur de balise à une balise LF. Le principal obtient une Alter autorisation implicite sur toutes les valeurs de balise d'une balise LF.
Describe Un directeur disposant de cette autorisation sur un LF-Tag peut voir le LF-Tag et ses valeurs lorsqu'il attribue des LF-Tags à des ressources ou accorde des autorisations sur des LF-Tags. Vous pouvez accorder une autorisation Describe sur toutes les valeurs clés ou sur des valeurs spécifiques.
Associate Un directeur disposant de cette autorisation sur une balise LF peut attribuer la balise LF à une ressource de catalogue de données. Accorder Associate implicitement des subventionsDescribe.
Grant with LF-Tag expression Un directeur disposant de cette autorisation sur un tag LF peut accorder des autorisations sur les ressources d'un catalogue de données à l'aide de la clé et des valeurs du tag LF. Accorder Grant with LF-Tag expression implicitement des subventionsDescribe.

Ces autorisations peuvent être accordées. Un directeur qui a obtenu ces autorisations avec l'option d'octroi peut les accorder à d'autres principaux.