IAMizin yang diperlukan untuk memberikan atau mencabut izin Lake Formation - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAMizin yang diperlukan untuk memberikan atau mencabut izin Lake Formation

Semua kepala sekolah, termasuk administrator data lake, memerlukan izin AWS Identity and Access Management (IAM) berikut untuk memberikan atau mencabut izin Katalog AWS Lake Formation Data atau izin lokasi data dengan Lake Formation atau: API AWS CLI

  • lakeformation:GrantPermissions

  • lakeformation:BatchGrantPermissions

  • lakeformation:RevokePermissions

  • lakeformation:BatchRevokePermissions

  • glue:GetTableatau glue:GetDatabase untuk tabel atau database yang Anda berikan izin menggunakan metode sumber daya bernama.

catatan

Administrator danau data memiliki izin Lake Formation implisit untuk memberikan dan mencabut izin Lake Formation. Tapi mereka masih membutuhkan IAM izin pada hibah Lake Formation dan mencabut operasiAPI.

IAMperan dengan kebijakan AWSLakeFormationDataAdmin AWS terkelola tidak dapat menambahkan administrator data lake baru karena kebijakan ini berisi penolakan eksplisit untuk API operasi Lake Formation,. PutDataLakeSetting

IAMKebijakan berikut direkomendasikan untuk prinsipal yang bukan administrator data lake dan yang ingin memberikan atau mencabut izin menggunakan konsol Lake Formation.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:ListPermissions", "lakeformation:GrantPermissions", "lakeformation:BatchGrantPermissions", "lakeformation:RevokePermissions", "lakeformation:BatchRevokePermissions", "glue:GetDatabases", "glue:SearchTables", "glue:GetTables", "glue:GetDatabase", "glue:GetTable", "iam:ListUsers", "iam:ListRoles", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso:DescribeInstance" ], "Resource": "*" } ] }

Semua izin glue: dan iam: izin dalam kebijakan ini tersedia dalam kebijakan AWS AWSGlueConsoleFullAccess terkelola.

Untuk memberikan izin dengan menggunakan kontrol akses berbasis tag Lake Formation (LF-TBAC), kepala sekolah memerlukan izin tambahan. IAM Untuk informasi selengkapnya, silakan lihat Praktik dan pertimbangan terbaik kontrol akses berbasis tag Lake Formation dan Referensi persona dan IAM izin Lake Formation.

Izin lintas akun

Pengguna yang ingin memberikan izin Lake Formation lintas akun dengan menggunakan metode sumber daya bernama juga harus memiliki izin dalam kebijakan AWSLakeFormationCrossAccountManager AWS terkelola.

Administrator data lake memerlukan izin yang sama untuk memberikan izin lintas akun, ditambah izin AWS Resource Access Manager (AWS RAM) untuk mengaktifkan pemberian izin kepada organisasi. Untuk informasi selengkapnya, lihat Izin administrator danau data.

Pengguna administratif

Kepala sekolah dengan izin administratif—misalnya, dengan kebijakan AdministratorAccess AWS terkelola—memiliki izin untuk memberikan izin Lake Formation dan membuat administrator data lake. Untuk menolak akses pengguna atau peran ke operasi administrator Lake Formation, lampirkan atau tambahkan Deny pernyataan kebijakannya untuk API operasi administrator.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lakeformation:GetDataLakeSettings", "lakeformation:PutDataLakeSettings" ], "Effect": "Deny", "Resource": [ "*" ] } ] }
penting

Untuk mencegah pengguna menambahkan diri mereka sebagai administrator dengan skrip ekstrak, transformasi, dan load (ETL), pastikan bahwa semua pengguna dan peran non-administrator ditolak akses ke API operasi ini. Kebijakan AWSLakeFormationDataAdmin AWS terkelola berisi penolakan eksplisit untuk API operasi Lake Formation, PutDataLakeSetting yang mencegah pengguna menambahkan administrator data lake baru.