IAMautorisations requises pour accorder ou révoquer les autorisations de Lake Formation - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

IAMautorisations requises pour accorder ou révoquer les autorisations de Lake Formation

Tous les principaux, y compris l'administrateur du lac de données, ont besoin des autorisations suivantes AWS Identity and Access Management (IAM) pour accorder ou révoquer les autorisations de catalogue de AWS Lake Formation données ou les autorisations de localisation des données avec la Lake Formation API ou le : AWS CLI

  • lakeformation:GrantPermissions

  • lakeformation:BatchGrantPermissions

  • lakeformation:RevokePermissions

  • lakeformation:BatchRevokePermissions

  • glue:GetTableou glue:GetDatabase pour une table ou une base de données à laquelle vous accordez des autorisations à l'aide de la méthode de ressource nommée.

Note

Les administrateurs des lacs de données disposent d'autorisations implicites pour accorder et révoquer les autorisations relatives à Lake Formation. Mais ils ont toujours besoin IAM des autorisations relatives à la subvention de Lake Formation et à la révocation API des opérations.

IAMles rôles dotés d'une politique AWSLakeFormationDataAdmin AWS gérée ne peuvent pas ajouter de nouveaux administrateurs de lacs de données car cette politique contient un refus explicite de l'APIopération Lake Formation,PutDataLakeSetting.

La IAM politique suivante est recommandée aux directeurs qui ne sont pas des administrateurs de lacs de données et qui souhaitent accorder ou révoquer des autorisations à l'aide de la console Lake Formation.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:ListPermissions",
                "lakeformation:GrantPermissions",
                "lakeformation:BatchGrantPermissions",
                "lakeformation:RevokePermissions",
                "lakeformation:BatchRevokePermissions",
                "glue:GetDatabases",
                "glue:SearchTables",
                "glue:GetTables",
                "glue:GetDatabase",
                "glue:GetTable",
                "iam:ListUsers",
                "iam:ListRoles",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "sso:DescribeInstance"
            ],
            "Resource": "*"
        }
    ]
}

Toutes les iam: autorisations glue: et autorisations de cette politique sont disponibles dans la politique AWS géréeAWSGlueConsoleFullAccess.

Pour accorder des autorisations à l'aide du contrôle d'accès basé sur les balises Lake Formation (LF-TBAC), les principaux ont besoin d'autorisations supplémentairesIAM. Pour plus d’informations, consultez Meilleures pratiques et considérations relatives au contrôle d'accès basé sur les balises Lake Formation et Référence des personnes et des IAM autorisations de Lake Formation.

Autorisations entre comptes

Les utilisateurs qui souhaitent accorder des autorisations entre comptes Lake Formation à l'aide de la méthode des ressources nommées doivent également disposer des autorisations définies dans la politique AWSLakeFormationCrossAccountManager AWS gérée.

Les administrateurs des lacs de données ont besoin des mêmes autorisations pour accorder des autorisations entre comptes, ainsi que de l'autorisation AWS Resource Access Manager (AWS RAM) pour autoriser l'octroi d'autorisations aux organisations. Pour de plus amples informations, veuillez consulter Autorisations d'administrateur du lac de données.

L'utilisateur administratif

Un directeur disposant d'autorisations administratives (par exemple, dans le cadre de la politique AdministratorAccess AWS gérée) est autorisé à accorder des autorisations à Lake Formation et à créer des administrateurs de lacs de données. Pour refuser à un utilisateur ou à un rôle l'accès aux opérations de l'administrateur de Lake Formation, joignez ou ajoutez à sa politique une Deny déclaration concernant les API opérations de l'administrateur.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "lakeformation:GetDataLakeSettings",
                "lakeformation:PutDataLakeSettings"
            ],
            "Effect": "Deny",
            "Resource": [
                "*"
            ]
        }
    ]
}
Important

Pour empêcher les utilisateurs de s'ajouter en tant qu'administrateurs à l'aide d'un script extract, transform et load (ETL), assurez-vous que l'accès à ces API opérations est refusé à tous les utilisateurs et rôles non administrateurs. La politique AWSLakeFormationDataAdmin AWS gérée contient un refus explicite de l'APIopération Lake Formation, PutDataLakeSetting qui empêche les utilisateurs d'ajouter de nouveaux administrateurs de lacs de données.