Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Référence des personnes et des IAM autorisations de Lake Formation
Cette section répertorie certains personnages de Lake Formation suggérés et leurs autorisations suggérées AWS Identity and Access Management (IAM). Pour plus d'informations sur les autorisations de Lake Formation, consultezRéférence des autorisations de Lake Formation.
AWS Lake Formation personas
Le tableau suivant répertorie les AWS Lake Formation personnages suggérés.
Lake Formation Personas | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Persona | Description | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
IAMadministrateur (superutilisateur) | (Obligatoire) Utilisateur capable de créer des IAM utilisateurs et des rôles. Possède la politique AdministratorAccess AWS gérée. Possède toutes les autorisations sur toutes les ressources du Lake Formation. Possibilité d'ajouter des administrateurs de data lake. Impossible d'accorder les autorisations de Lake Formation s'il n'est pas également désigné administrateur du lac de données. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Administrateur du lac de données | (Obligatoire) Utilisateur pouvant enregistrer des sites Amazon S3, accéder au catalogue de données, créer des bases de données, créer et exécuter des flux de travail, accorder des autorisations Lake Formation à d'autres utilisateurs et consulter les AWS CloudTrail journaux. Dispose de moins d'IAMautorisations que l'IAMadministrateur, mais suffisamment pour administrer le lac de données. Impossible d'ajouter d'autres administrateurs de data lake. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Administrateur en lecture seule | (Facultatif) Utilisateur qui peut consulter les informations principales, les ressources du catalogue de données, les autorisations et les AWS CloudTrail journaux, sans les autorisations nécessaires pour effectuer des mises à jour. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Ingénieur de données | (Facultatif) Utilisateur capable de créer des bases de données, de créer et d'exécuter des robots d'exploration et des flux de travail, et d'accorder des autorisations à Lake Formation sur les tables du catalogue de données créées par les robots et les flux de travail. Nous vous recommandons de faire de tous les ingénieurs de données des créateurs de bases de données. Pour de plus amples informations, veuillez consulter Création d’une base de données. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Analyste des données | (Facultatif) Utilisateur qui peut exécuter des requêtes sur le lac de données en utilisant, par exemple, Amazon Athena. Dispose uniquement de suffisamment d'autorisations pour exécuter des requêtes. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Rôle du flux de travail | (Obligatoire) Rôle qui exécute un flux de travail pour le compte d'un utilisateur. Vous spécifiez ce rôle lorsque vous créez un flux de travail à partir d'un plan. |
AWS politiques gérées pour Lake Formation
Vous pouvez accorder les autorisations AWS Identity and Access Management (IAM) requises pour travailler avec AWS Lake Formation en utilisant des politiques AWS gérées et des politiques intégrées. Les politiques AWS gérées suivantes sont disponibles pour Lake Formation.
AWS politique gérée : AWSLakeFormationDataAdmin
AWSLakeFormationDataAdmin
Vous pouvez vous associer AWSLakeFormationDataAdmin
à vos utilisateurs, groupes et rôles.
Détails de l'autorisation
CloudTrail
— Permet aux directeurs de consulter les AWS CloudTrail journaux. Cela est nécessaire pour vérifier toute erreur dans la configuration du lac de données.-
Glue
— Permet aux principaux d'afficher, de créer et de mettre à jour des tables de métadonnées et des bases de données dans le catalogue de données. Cela inclut API les opérations qui commencent parGet
List
Create
,Update
,Delete
, etSearch
. Cela est nécessaire pour gérer les métadonnées des tables des lacs de données. IAM
— Permet aux principaux de récupérer des informations sur IAM les utilisateurs, les rôles et les politiques associées aux rôles. Cela est nécessaire pour que l'administrateur des données puisse examiner et répertorier IAM les utilisateurs et les rôles afin d'accorder des autorisations à Lake Formation.Lake Formation
— Accorde aux administrateurs de lacs de données les autorisations nécessaires à Lake Formation pour gérer les lacs de données.S3
— Permet aux principaux de récupérer des informations sur les compartiments Amazon S3 et leur emplacement afin de configurer l'emplacement des données pour les lacs de données.
"Statement": [ { "Sid": "AWSLakeFormationDataAdminAllow", "Effect": "Allow", "Action": [ "lakeformation:*", "cloudtrail:DescribeTrails", "cloudtrail:LookupEvents", "glue:GetDatabase", "glue:GetDatabases", "glue:CreateDatabase", "glue:UpdateDatabase", "glue:DeleteDatabase", "glue:GetConnections", "glue:SearchTables", "glue:GetTable", "glue:CreateTable", "glue:UpdateTable", "glue:DeleteTable", "glue:GetTableVersions", "glue:GetPartitions", "glue:GetTables", "glue:ListWorkflows", "glue:BatchGetWorkflows", "glue:DeleteWorkflow", "glue:GetWorkflowRuns", "glue:StartWorkflowRun", "glue:GetWorkflow", "s3:ListBucket", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "iam:ListUsers", "iam:ListRoles", "iam:GetRole", "iam:GetRolePolicy" ], "Resource": "*" }, { "Sid": "AWSLakeFormationDataAdminDeny", "Effect": "Deny", "Action": [ "lakeformation:PutDataLakeSettings" ], "Resource": "*" } ] }
Note
La AWSLakeFormationDataAdmin
politique n'accorde pas toutes les autorisations requises aux administrateurs de lacs de données. Des autorisations supplémentaires sont nécessaires pour créer et exécuter des flux de travail et enregistrer des sites avec le rôle lié au serviceAWSServiceRoleForLakeFormationDataAccess
. Pour plus d’informations, consultez Création d'un administrateur de lac de données et Utilisation de rôles liés à un service pour Lake Formation.
AWS politique gérée : AWSLakeFormationCrossAccountManager
AWSLakeFormationCrossAccountManager
Vous pouvez vous associer AWSLakeFormationCrossAccountManager
à vos utilisateurs, groupes et rôles.
Détails de l'autorisation
Cette politique inclut les autorisations suivantes.
Glue
— Permet aux principaux de définir ou de supprimer la politique de ressources du catalogue de données pour le contrôle d'accès.Organizations
— Permet aux responsables de récupérer les informations relatives aux comptes et aux unités organisationnelles (UO) d'une organisation.ram:CreateResourceShare
— Permet aux principaux de créer un partage de ressources.ram:UpdateResourceShare
: permet aux principaux de modifier certaines propriétés du partage de ressources spécifié.-
ram:DeleteResourceShare
— Permet aux principaux de supprimer le partage de ressources spécifié. ram:AssociateResourceShare
— Permet aux principaux d'ajouter la liste de principes et la liste de ressources spécifiées à un partage de ressources.ram:DisassociateResourceShare
— Permet aux principaux d'empêcher les principaux ou les ressources spécifiés de participer au partage de ressources spécifié.ram:GetResourceShares
— Permet aux principaux de récupérer des informations sur les partages de ressources que vous possédez ou qui sont partagés avec vous.ram:RequestedResourceType
— Permet aux principaux de récupérer le type de ressource (base de données, table ou catalogue).AssociateResourceSharePermission
— Permet aux principaux d'ajouter ou de remplacer l' AWS RAM autorisation pour un type de ressource inclus dans un partage de ressources. Vous pouvez avoir exactement une autorisation associée à chaque type de ressource dans le partage de ressources.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowCreateResourceShare", "Effect": "Allow", "Action": [ "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "ram:RequestedResourceType": [ "glue:Table", "glue:Database", "glue:Catalog" ] } } }, { "Sid": "AllowManageResourceShare", "Effect": "Allow", "Action": [ "ram:UpdateResourceShare", "ram:DeleteResourceShare", "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:GetResourceShares" ], "Resource": "*", "Condition": { "StringLike": { "ram:ResourceShareName": [ "LakeFormation*" ] } } }, { "Sid": "AllowManageResourceSharePermissions", "Effect": "Allow", "Action": [ "ram:AssociateResourceSharePermission" ], "Resource": "*", "Condition": { "StringLike": { "ram:PermissionArn": [ "arn:aws:ram::aws:permission/AWSRAMLFEnabled*" ] } } }, { "Sid": "AllowXAcctManagerPermissions", "Effect": "Allow", "Action": [ "glue:PutResourcePolicy", "glue:DeleteResourcePolicy", "organizations:DescribeOrganization", "organizations:DescribeAccount", "ram:Get*", "ram:List*" ], "Resource": "*" }, { "Sid": "AllowOrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent" ], "Resource": "*" } ] }
AWS politique gérée : AWSGlueConsoleFullAccess
AWSGlueConsoleFullAccess
En outre, AWS Glue et Lake Formation assument le rôle de service AWSGlueServiceRole
pour permettre l'accès aux services connexes, notamment Amazon Elastic Compute Cloud (AmazonEC2), Amazon Simple Storage Service (Amazon S3) et Amazon. CloudWatch
AWS managed policy:LakeFormationDataAccessServiceRolePolicy
Cette politique est attachée à un rôle lié au service nommé ServiceRoleForLakeFormationDataAccess
qui permet au service d'effectuer des actions sur les ressources à votre demande. Vous ne pouvez pas associer cette politique à votre IAM identité.
Cette politique permet aux AWS services intégrés de Lake Formation tels qu'Amazon Redshift Amazon Athena d'utiliser le rôle lié au service pour découvrir les ressources Amazon S3.
Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour Lake Formation.
Détails de l'autorisation
Cette politique inclut les autorisations suivantes.
-
s3:ListAllMyBuckets
— Renvoie la liste de tous les buckets appartenant à l'expéditeur authentifié de la demande.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LakeFormationDataAccessServiceRolePolicy", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": [ "arn:aws:s3:::*" ] } ] }
Lake Formation met à jour les politiques AWS gérées
Consultez les détails des mises à jour des politiques AWS gérées pour Lake Formation depuis que ce service a commencé à suivre ces modifications.
Modification | Description | Date |
---|---|---|
AWSLakeFormationCrossAccountManager Politique mise à jour de Lake Formation. |
Lake Formation a amélioré la AWSLakeFormationCrossAccountManager |
mars 2024 |
AWSLakeFormationDataAdmin Politique mise à jour de Lake Formation. |
Lake Formation a amélioré la AWSLakeFormationDataAdmin |
mars 2024 |
LakeFormationDataAccessServiceRolePolicy Politique mise à jour de Lake Formation. |
Lake Formation a amélioré la LakeFormationDataAccessServiceRolePolicy |
février 2024 |
AWSLakeFormationCrossAccountManager Politique mise à jour de Lake Formation. |
Lake Formation a amélioré cette AWSLakeFormationCrossAccountManager |
octobre 2023 |
AWSLakeFormationCrossAccountManager Politique mise à jour de Lake Formation. |
Lake Formation a amélioré la AWSLakeFormationCrossAccountManager |
6 mai 2022 |
Lake Formation a commencé à suivre les changements. | Lake Formation a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 6 mai 2022 |
Autorisations suggérées par Persona
Voici les autorisations suggérées pour chaque personnage. L'IAMadministrateur n'est pas inclus car il dispose de toutes les autorisations sur toutes les ressources.
Rubriques
Autorisations d'administrateur du lac de données
Important
Dans les politiques suivantes, remplacez <account-id>
avec un numéro de AWS compte valide, et remplacez <workflow_role>
avec le nom d'un rôle autorisé à exécuter un flux de travail, tel que défini dansAutorisations relatives aux rôles du flux.
Type de politique | Politique |
---|---|
AWS politiques gérées |
Pour plus d'informations sur les politiques AWS gérées facultatives, consultezCréation d'un administrateur de lac de données. |
Politique en ligne (pour créer le rôle lié au service Lake Formation) |
|
(Facultatif) Politique intégrée (politique de passe-rôle pour le rôle de flux de travail). Cela n'est nécessaire que si l'administrateur du lac de données crée et exécute des flux de travail. |
|
(Facultatif) Politique en ligne (si votre compte accorde ou reçoit des autorisations entre comptes Lake Formation). Cette politique permet d'accepter ou de rejeter les invitations à partager des AWS RAM ressources et d'autoriser l'octroi d'autorisations entre comptes aux organisations. ram:EnableSharingWithAwsOrganization est obligatoire uniquement pour les administrateurs de data lake dans le compte AWS Organizations
de gestion. |
|
Autorisations d'administrateur en lecture seule
Type de stratégie | Politique |
---|---|
Politique en ligne (de base) |
|
Autorisations d'ingénieur de données
Important
Dans les politiques suivantes, remplacez <account-id>
avec un numéro de AWS compte valide, et remplacez <workflow_role>
avec le nom du rôle du flux de travail.
Type de politique | Politique |
---|---|
AWS politique gérée | AWSGlueConsoleFullAccess |
Politique en ligne (de base) |
|
Politique intégrée (pour les opérations sur les tables gouvernées, y compris les opérations au sein des transactions) |
|
Politique en ligne (pour le contrôle d'accès aux métadonnées à l'aide de la méthode de contrôle d'accès basée sur les balises Lake Formation (LF-TBAC)) |
|
Politique intégrée (politique de passe-rôle pour le rôle de flux de travail) |
|
Autorisations d'analyse de données
Type de politique | Politique |
---|---|
AWS politique gérée | AmazonAthenaFullAccess |
Politique en ligne (de base) |
|
(Facultatif) Politique intégrée (pour les opérations sur les tables gouvernées, y compris les opérations au sein des transactions) |
|
Autorisations relatives aux rôles du flux
Ce rôle dispose des autorisations requises pour exécuter un flux de travail. Vous spécifiez un rôle doté de ces autorisations lorsque vous créez un flux de travail.
Important
Dans les politiques suivantes, remplacez <region>
avec un identifiant de AWS région valide (par exempleus-east-1
), <account-id>
avec un numéro de AWS compte valide, <workflow_role>
avec le nom du rôle du flux de travail, et <your-s3-cloudtrail-bucket>
avec le chemin Amazon S3 vers vos AWS CloudTrail journaux.
Type de politique | Politique |
---|---|
AWS politique gérée | AWSGlueServiceRole |
Politique en ligne (accès aux données) |
|
Politique intégrée (politique de passe-rôle pour le rôle de flux de travail) |
|
Politique en ligne (pour l'ingestion de données en dehors du lac de données, AWS CloudTrail par exemple des journaux) |
|