Izin Lake Formation Implisit - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin Lake Formation Implisit

AWS Lake Formation memberikan izin implisit berikut kepada administrator data lake, pembuat database, dan pembuat tabel.

Administrator data lake

  • Memiliki Describe akses ke semua sumber daya dalam Katalog Data kecuali untuk sumber daya yang dibagikan dari akun lain secara langsung ke prinsipal yang berbeda. Akses ini tidak dapat dicabut dari administrator.

  • Memiliki izin lokasi data di mana-mana di danau data.

  • Dapat memberikan atau mencabut akses ke sumber daya apa pun dalam Katalog Data kepada prinsipal mana pun (termasuk mandiri). Akses ini tidak dapat dicabut dari administrator.

  • Dapat membuat database di Katalog Data.

  • Dapat memberikan izin untuk membuat database ke pengguna lain.

catatan

Administrator data lake dapat mendaftarkan lokasi Amazon S3 hanya jika mereka memiliki izin IAM untuk melakukannya. Kebijakan administrator data lake yang disarankan dalam panduan ini memberikan izin tersebut. Selain itu, administrator data lake tidak memiliki izin implisit untuk menjatuhkan database atau mengubah/menjatuhkan tabel yang dibuat oleh orang lain. Namun, mereka dapat memberikan izin kepada diri mereka sendiri untuk melakukannya.

Untuk informasi selengkapnya tentang administrator data lake, lihatBuat administrator danau data.

Pembuat katalog

  • Memiliki semua izin katalog pada katalog yang mereka buat, memiliki izin pada database dan tabel yang mereka buat di katalog, dan dapat memberikan izin kepada prinsipal lain di AWS akun yang sama untuk membuat database dan tabel di katalog. Pembuat katalog yang juga memiliki kebijakan AWSLakeFormationCrossAccountManager AWS terkelola dapat memberikan izin pada katalog ke AWS akun atau organisasi lain.

    Administrator data lake dapat menggunakan konsol Lake Formation atau API untuk menunjuk pembuat katalog.

    catatan

    Pembuat katalog tidak secara implisit memiliki izin pada database dan tabel yang dibuat orang lain dalam katalog.

Untuk informasi selengkapnya tentang membuat katalog, lihat. Membawa data Anda ke AWS Glue Data Catalog

Pembuat basis data

  • Memiliki semua izin database pada database yang mereka buat, memiliki izin pada tabel yang mereka buat dalam database, dan dapat memberikan prinsipal lain dalam izin AWS akun yang sama untuk membuat tabel dalam database. Pembuat database yang juga memiliki kebijakan AWSLakeFormationCrossAccountManager AWS terkelola dapat memberikan izin pada database ke AWS akun atau organisasi lain.

    Administrator data lake dapat menggunakan konsol Lake Formation atau API untuk menunjuk pembuat database.

    catatan

    Pembuat database tidak secara implisit memiliki izin pada tabel yang dibuat orang lain dalam database.

Untuk informasi selengkapnya, lihat Membuat basis data.

Pembuat tabel

  • Memiliki semua izin pada tabel yang mereka buat.

  • Dapat memberikan izin pada semua tabel yang mereka buat ke kepala sekolah di akun yang sama. AWS

  • Dapat memberikan izin pada semua tabel yang dibuat ke AWS akun atau organisasi lain jika memiliki kebijakan AWSLakeFormationCrossAccountManager AWS terkelola.

  • Dapat melihat database yang berisi tabel yang mereka buat.