Permissions implicites de Lake Formation - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Permissions implicites de Lake Formation

AWS Lake Formation accorde les autorisations implicites suivantes aux administrateurs de lacs de données, aux créateurs de bases de données et aux créateurs de tables.

Administrateurs de data lake

  • DescribeAccédez à toutes les ressources du catalogue de données, à l'exception des ressources partagées directement depuis un autre compte avec un autre principal. Cet accès ne peut pas être révoqué par un administrateur.

  • Disposez d'autorisations de localisation des données partout dans le lac de données.

  • Peut accorder ou révoquer l'accès à toutes les ressources du catalogue de données à n'importe quel principal (y compris lui-même). Cet accès ne peut pas être révoqué par un administrateur.

  • Peut créer des bases de données dans le catalogue de données.

  • Peut accorder l'autorisation de créer une base de données à un autre utilisateur.

Note

Les administrateurs de data lake peuvent enregistrer des sites Amazon S3 uniquement s'ils disposent des autorisations IAM pour le faire. Les politiques proposées aux administrateurs des lacs de données dans ce guide accordent ces autorisations. En outre, les administrateurs des lacs de données ne disposent pas des autorisations implicites leur permettant de supprimer des bases de données ou de modifier/supprimer des tables créées par d'autres. Ils peuvent toutefois s'octroyer l'autorisation de le faire.

Pour plus d'informations sur les administrateurs de data lake, consultezCréation d'un administrateur de lac de données.

créateurs de bases de données

  • Disposez de toutes les autorisations de base de données sur les bases de données qu'ils créent, d'autorisations sur les tables qu'ils créent dans la base de données et vous pouvez accorder aux autres principaux du même AWS compte l'autorisation de créer des tables dans la base de données. Un créateur de base de données qui dispose également de la politique AWSLakeFormationCrossAccountManager AWS gérée peut accorder des autorisations sur la base de données à d'autres AWS comptes ou organisations.

    Les administrateurs de data lake peuvent utiliser la console ou l'API Lake Formation pour désigner les créateurs de bases de données.

    Note

    Les créateurs de base de données ne disposent pas implicitement d'autorisations sur les tables créées par d'autres utilisateurs dans la base de données.

Pour plus d’informations, consultez Création d’une base de données.

Créateurs de tables

  • Disposent de toutes les autorisations sur les tables qu'ils créent.

  • Ils peuvent accorder des autorisations sur toutes les tables qu'ils créent aux principaux d'un même AWS compte.

  • Ils peuvent accorder des autorisations sur toutes les tables qu'ils créent à d'autres AWS comptes ou organisations s'ils disposent de la politique AWSLakeFormationCrossAccountManager AWS gérée.

  • Peut afficher les bases de données contenant les tables qu'ils créent.