AWS Lake Formation persone AWS politiche gestite per Lake Formation Autorizzazioni suggerite da Personas

Riferimento ai personaggi e alle IAM autorizzazioni di Lake Formation

Questa sezione elenca alcuni personaggi suggeriti di Lake Formation e le loro autorizzazioni suggerite AWS Identity and Access Management (IAM). Per informazioni sulle autorizzazioni di Lake Formation, vedereRiferimento alle autorizzazioni di Lake Formation.

AWS Lake Formation persone

La tabella seguente elenca i AWS Lake Formation personaggi suggeriti.

Personaggi di Lake Formation
Utente	Descrizione
IAMamministratore (superutente)	(Obbligatorio) Utente che può creare IAM utenti e ruoli. Dispone della politica `AdministratorAccess` AWS gestita. Dispone di tutte le autorizzazioni su tutte le risorse di Lake Formation. Può aggiungere amministratori di data lake. Non può concedere le autorizzazioni di Lake Formation se non è stato designato anche un amministratore del data lake.
Amministratore del data lake	(Obbligatorio) Utente in grado di registrare sedi Amazon S3, accedere al Data Catalog, creare database, creare ed eseguire flussi di lavoro, concedere autorizzazioni Lake Formation ad altri utenti e visualizzare i log. AWS CloudTrail Dispone di meno IAM autorizzazioni rispetto all'IAMamministratore, ma sufficienti per amministrare il data lake. Impossibile aggiungere altri amministratori di data lake.
Amministratore di sola lettura	(Facoltativo) Utente che può visualizzare i principali, le risorse del Data Catalog, le autorizzazioni e AWS CloudTrail i registri, senza le autorizzazioni per effettuare aggiornamenti.
Ingegnere dei dati	(Facoltativo) Utente che può creare database, creare ed eseguire crawler e flussi di lavoro e concedere autorizzazioni Lake Formation sulle tabelle del Data Catalog create dai crawler e dai flussi di lavoro. Ti consigliamo di nominare tutti i data engineer creatori di database. Per ulteriori informazioni, consulta Creazione di un database.
Analista dei dati	(Facoltativo) Utente che può eseguire query sul data lake utilizzando, ad esempio,. Amazon Athena Dispone solo delle autorizzazioni sufficienti per eseguire le query.
Ruolo del workflow	(Obbligatorio) Ruolo che esegue un flusso di lavoro per conto di un utente. Questo ruolo viene specificato quando si crea un flusso di lavoro da un blueprint.

AWS politiche gestite per Lake Formation

È possibile concedere le AWS Identity and Access Management (IAM) autorizzazioni necessarie per lavorare AWS Lake Formation utilizzando politiche AWS gestite e politiche in linea. Le seguenti politiche AWS gestite sono disponibili per Lake Formation.

AWS politica gestita: AWSLakeFormationDataAdmin

AWSLakeFormationDataAdminla politica garantisce l'accesso amministrativo AWS Lake Formation ai servizi correlati, come AWS Glue la gestione dei data lake.

Puoi collegarti AWSLakeFormationDataAdmin ai tuoi utenti, gruppi e ruoli.

Dettagli sulle autorizzazioni

CloudTrail— Consente ai responsabili di visualizzare i AWS CloudTrail registri. Ciò è necessario per esaminare eventuali errori nella configurazione del data lake.
Glue— Consente ai responsabili di visualizzare, creare e aggiornare tabelle e database di metadati in Data Catalog. Ciò include API le operazioni che iniziano conGet,List, Create UpdateDelete, e. Search Ciò è necessario per gestire i metadati delle tabelle del data lake.
IAM— Consente ai responsabili di recuperare informazioni su IAM utenti, ruoli e politiche associate ai ruoli. Ciò è necessario affinché l'amministratore dei dati riveda ed elenchi IAM utenti e ruoli per concedere le autorizzazioni a Lake Formation.
Lake Formation— Concede agli amministratori dei data lake le autorizzazioni necessarie per Lake Formation per gestire i data lake.
S3— Consente ai responsabili di recuperare informazioni sui bucket Amazon S3 e sulle loro posizioni per configurare la posizione dei dati per i data lake.


"Statement": [
        {
            "Sid": "AWSLakeFormationDataAdminAllow",
            "Effect": "Allow",
            "Action": [
                "lakeformation:*",
                "cloudtrail:DescribeTrails",
                "cloudtrail:LookupEvents",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:CreateDatabase",
                "glue:UpdateDatabase",
                "glue:DeleteDatabase",
                "glue:GetConnections",
                "glue:SearchTables",
                "glue:GetTable",
                "glue:CreateTable",
                "glue:UpdateTable",
                "glue:DeleteTable",
                "glue:GetTableVersions",
                "glue:GetPartitions",
                "glue:GetTables",
                "glue:ListWorkflows",
                "glue:BatchGetWorkflows",
                "glue:DeleteWorkflow",
                "glue:GetWorkflowRuns",
                "glue:StartWorkflowRun",
                "glue:GetWorkflow",
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:GetBucketAcl",
                "iam:ListUsers",
                "iam:ListRoles",
                "iam:GetRole",
                "iam:GetRolePolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AWSLakeFormationDataAdminDeny",
            "Effect": "Deny",
            "Action": [
                "lakeformation:PutDataLakeSettings"
            ],
                "Resource": "*"
        }
    ]
}

Nota

La AWSLakeFormationDataAdmin policy non concede tutte le autorizzazioni necessarie agli amministratori dei data lake. Sono necessarie autorizzazioni aggiuntive per creare ed eseguire flussi di lavoro e registrare posizioni con il ruolo collegato al servizio. AWSServiceRoleForLakeFormationDataAccess Per ulteriori informazioni, consulta Crea un amministratore del data lake e Utilizzo di ruoli collegati ai servizi per Lake Formation.

AWS politica gestita: AWSLakeFormationCrossAccountManager

AWSLakeFormationCrossAccountManagerla politica fornisce l'accesso multiaccount alle AWS Glue risorse tramite Lake Formation e concede l'accesso in lettura ad altri servizi richiesti come AWS Organizations e AWS RAM.

Puoi collegarti AWSLakeFormationCrossAccountManager ai tuoi utenti, gruppi e ruoli.

Dettagli sulle autorizzazioni

Questa policy include le seguenti autorizzazioni:

Glue— Consente ai responsabili di impostare o eliminare la politica delle risorse del Data Catalog per il controllo degli accessi.
Organizations— Consente ai responsabili di recuperare le informazioni sull'account e sull'unità organizzativa (OU) di un'organizzazione.
ram:CreateResourceShare— Consente ai dirigenti di creare una condivisione di risorse.
ram:UpdateResourceShare— Consente ai principali di modificare alcune proprietà della condivisione di risorse specificata.
ram:DeleteResourceShare— Consente ai principali di eliminare la condivisione di risorse specificata.
ram:AssociateResourceShare— Consente ai responsabili di aggiungere l'elenco di principali e l'elenco di risorse specificati a una condivisione di risorse.
ram:DisassociateResourceShare— Consente ai principali di rimuovere i principali o le risorse specificati dalla partecipazione alla condivisione di risorse specificata.
ram:GetResourceShares— Consente ai responsabili di recuperare i dettagli sulle condivisioni di risorse che possiedi o che sono condivise con te.
ram:RequestedResourceType— Consente ai responsabili di recuperare il tipo di risorsa (database, tabella o catalogo).
AssociateResourceSharePermission— Consente ai responsabili di aggiungere o sostituire l' AWS RAM autorizzazione per un tipo di risorsa incluso in una condivisione di risorse. È possibile associare esattamente un'autorizzazione a ciascun tipo di risorsa nella condivisione di risorse.


{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AllowCreateResourceShare",
            "Effect": "Allow",
            "Action": [
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringLikeIfExists": {
                    "ram:RequestedResourceType": [
                        "glue:Table",
                        "glue:Database",
                        "glue:Catalog"
                    ]
                }
            }
        },
        {
            "Sid": "AllowManageResourceShare",
            "Effect": "Allow",
            "Action": [
                "ram:UpdateResourceShare",
                "ram:DeleteResourceShare",
                "ram:AssociateResourceShare",
                "ram:DisassociateResourceShare",
                "ram:GetResourceShares"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:ResourceShareName": [
                        "LakeFormation*"
                    ]
                }
            }
        },
        {
            "Sid": "AllowManageResourceSharePermissions",
            "Effect": "Allow",
            "Action": [
                "ram:AssociateResourceSharePermission"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:PermissionArn": [
                        "arn:aws:ram::aws:permission/AWSRAMLFEnabled*"
                    ]
                }
            }
        },
        {
            "Sid": "AllowXAcctManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "glue:PutResourcePolicy",
                "glue:DeleteResourcePolicy",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "ram:Get*",
                "ram:List*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowOrganizationsPermissions",
            "Effect": "Allow",
            "Action": [
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        }
    ]
}

AWS politica gestita: AWSGlueConsoleFullAccess

AWSGlueConsoleFullAccessla politica garantisce l'accesso completo alle AWS Glue risorse quando un'identità a cui è associata la politica utilizza il AWS Management Console. Se segui la convenzione per la denominazione per le risorse specificate nella policy, gli utenti hanno la piena funzionalità della console. Questo criterio è in genere associato agli utenti della AWS Glue console.

Inoltre, AWS Glue e Lake Formation assumono il ruolo di servizio AWSGlueServiceRole per consentire l'accesso ai servizi correlati, tra cui Amazon Elastic Compute Cloud (AmazonEC2), Amazon Simple Storage Service (Amazon S3) e Amazon. CloudWatch

AWS managed policy:LakeFormationDataAccessServiceRolePolicy

Questa policy è associata a un ruolo collegato al servizio denominato ServiceRoleForLakeFormationDataAccess che consente al servizio di eseguire azioni sulle risorse su richiesta dell'utente. Non puoi allegare questa politica alle tue IAM identità.

Questa policy consente ai AWS servizi integrati di Lake Formation come Amazon Athena Amazon Redshift di utilizzare il ruolo collegato ai servizi per scoprire le risorse di Amazon S3.

Per ulteriori informazioni, consultare Utilizzo di ruoli collegati ai servizi per Lake Formation.

Dettagli delle autorizzazioni

Questa politica include le seguenti autorizzazioni.

s3:ListAllMyBuckets— Restituisce un elenco di tutti i bucket di proprietà del mittente autenticato della richiesta.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "LakeFormationDataAccessServiceRolePolicy",
			"Effect": "Allow",
			"Action": [
				"s3:ListAllMyBuckets"
			],
			"Resource": [
				"arn:aws:s3:::*"
			]
		}
	]
}

Lake Formation: aggiornamenti alle politiche AWS gestite

Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per Lake Formation da quando questo servizio ha iniziato a tracciare queste modifiche.

Modifica	Descrizione	Data
`AWSLakeFormationCrossAccountManager`Politica aggiornata di Lake Formation.	Lake Formation ha migliorato la AWSLakeFormationCrossAccountManagerpolitica aggiungendo elementi Sid alla dichiarazione politica.	marzo 2024
`AWSLakeFormationDataAdmin`Politica aggiornata di Lake Formation.	Lake Formation ha migliorato la AWSLakeFormationDataAdminpolitica aggiungendo un elemento Sid alla dichiarazione politica e rimuovendo un'azione ridondante.	marzo 2024
`LakeFormationDataAccessServiceRolePolicy`Politica aggiornata di Lake Formation.	Lake Formation ha migliorato la LakeFormationDataAccessServiceRolePolicypolitica aggiungendo un elemento Sid alla dichiarazione politica.	febbraio 2024
`AWSLakeFormationCrossAccountManager`Politica aggiornata di Lake Formation.	Lake Formation ha migliorato la AWSLakeFormationCrossAccountManagerpolitica aggiungendo una nuova autorizzazione per abilitare la condivisione dei dati tra account in modalità di accesso ibrido.	ottobre 2023
`AWSLakeFormationCrossAccountManager`Politica aggiornata di Lake Formation.	Lake Formation ha migliorato la AWSLakeFormationCrossAccountManagerpolitica per creare una sola condivisione di risorse per account destinatario quando la risorsa viene condivisa per la prima volta. Tutte le risorse condivise successivamente con lo stesso account vengono allegate alla stessa condivisione di risorse.	6 maggio 2022
Lake Formation ha iniziato a tracciare le modifiche.	Lake Formation ha iniziato a tracciare le modifiche per le sue politiche AWS gestite.	6 maggio 2022

Autorizzazioni suggerite da Personas

Di seguito sono riportate le autorizzazioni suggerite per ogni persona. L'IAMamministratore non è incluso perché quell'utente dispone di tutte le autorizzazioni su tutte le risorse.

Argomenti

Autorizzazioni di amministratore di Data Lake
Autorizzazioni di amministratore di sola lettura
Autorizzazioni per tecnici dei dati
Autorizzazioni per analisti di dati
Autorizzazioni relative ai ruoli del workflow

Autorizzazioni di amministratore di Data Lake

Importante

Nelle seguenti politiche, sostituisci <account-id> con un numero di AWS conto valido e sostituisci <workflow_role> con il nome di un ruolo che dispone delle autorizzazioni per eseguire un flusso di lavoro, come definito inAutorizzazioni relative ai ruoli del workflow.

Tipo di policy	Policy
AWS politiche gestite	`AWSLakeFormationDataAdmin` `LakeFormationDataAccessServiceRolePolicy`(politica relativa ai ruoli legati ai servizi) `AWSGlueConsoleFullAccess` (facoltativo). `CloudWatchLogsReadOnlyAccess` (facoltativo) `AWSLakeFormationCrossAccountManager` (facoltativo) `AmazonAthenaFullAccess` (facoltativo). Per informazioni sulle politiche AWS gestite opzionali, vedere. Crea un amministratore del data lake
Politica in linea (per la creazione del ruolo collegato ai servizi di Lake Formation)	`{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "lakeformation.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::<account-id>:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess" } ] }`
(Facoltativo) Politica in linea (politica passrole per il ruolo del flusso di lavoro). Questa operazione è necessaria solo se l'amministratore del data lake crea ed esegue flussi di lavoro.	`{ "Version": "2012-10-17", "Statement": [ { "Sid": "PassRolePermissions", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<account-id>:role/<workflow_role>" ] } ] }`
(Facoltativo) Politica in linea (se il tuo account concede o riceve autorizzazioni Lake Formation per più account). Questa politica serve ad accettare o rifiutare gli inviti alla condivisione di AWS RAM risorse e a consentire la concessione di autorizzazioni per più account alle organizzazioni. `ram:EnableSharingWithAwsOrganization`è richiesto solo per gli amministratori del data lake presenti nell'account di gestione. AWS Organizations	`{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ram:AcceptResourceShareInvitation", "ram:RejectResourceShareInvitation", "ec2:DescribeAvailabilityZones", "ram:EnableSharingWithAwsOrganization" ], "Resource": "*" } ] }`

Autorizzazioni di amministratore di sola lettura

Tipo di policy Policy

Politica in linea (di base)

Tipo di policy	Policy
Politica in linea (di base)	{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "lakeformation:GetEffectivePermissionsForPath", "lakeformation:ListPermissions", "lakeformation:ListDataCellsFilter", "lakeformation:GetDataCellsFilter", "lakeformation:SearchDatabasesByLFTags", "lakeformation:SearchTablesByLFTags", "lakeformation:GetLFTag", "lakeformation:ListLFTags", "lakeformation:GetResourceLFTags", "lakeformation:ListLakeFormationOptins", "cloudtrail:DescribeTrails", "cloudtrail:LookupEvents", "glue:GetDatabase", "glue:GetDatabases", "glue:GetConnections", "glue:SearchTables", "glue:GetTable", "glue:GetTableVersions", "glue:GetPartitions", "glue:GetTables", "glue:GetWorkflow", "glue:ListWorkflows", "glue:BatchGetWorkflows", "glue:GetWorkflowRuns", "glue:GetWorkflow", "s3:ListBucket", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "iam:ListUsers", "iam:ListRoles", "iam:GetRole", "iam:GetRolePolicy" ], "Resource":"" }, { "Effect":"Deny", "Action":[ "lakeformation:PutDataLakeSettings" ], "Resource":"" } ] }


{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "lakeformation:GetEffectivePermissionsForPath",
            "lakeformation:ListPermissions",
            "lakeformation:ListDataCellsFilter",
            "lakeformation:GetDataCellsFilter",
            "lakeformation:SearchDatabasesByLFTags",
            "lakeformation:SearchTablesByLFTags",
            "lakeformation:GetLFTag",
            "lakeformation:ListLFTags",
            "lakeformation:GetResourceLFTags",
            "lakeformation:ListLakeFormationOptins",
            "cloudtrail:DescribeTrails",
            "cloudtrail:LookupEvents",
            "glue:GetDatabase",
            "glue:GetDatabases",
            "glue:GetConnections",
            "glue:SearchTables",
            "glue:GetTable",
            "glue:GetTableVersions",
            "glue:GetPartitions",
            "glue:GetTables",
            "glue:GetWorkflow",
            "glue:ListWorkflows",
            "glue:BatchGetWorkflows",
            "glue:GetWorkflowRuns",
            "glue:GetWorkflow",
            "s3:ListBucket",
            "s3:GetBucketLocation",
            "s3:ListAllMyBuckets",
            "s3:GetBucketAcl",
            "iam:ListUsers",
            "iam:ListRoles",
            "iam:GetRole",
            "iam:GetRolePolicy"
         ],
         "Resource":"*"
      },
      {  
         "Effect":"Deny",
         "Action":[  
            "lakeformation:PutDataLakeSettings"
         ],
         "Resource":"*"
      }
   ]
}

Autorizzazioni per tecnici dei dati

Importante

Nelle seguenti politiche, sostituisci <account-id> con un numero di AWS conto valido e sostituisci <workflow_role> con il nome del ruolo del workflow.

Tipo di policy	Policy
AWS politica gestita	`AWSGlueConsoleFullAccess`
politica in linea (di base)	{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess", "lakeformation:GrantPermissions", "lakeformation:RevokePermissions", "lakeformation:BatchGrantPermissions", "lakeformation:BatchRevokePermissions", "lakeformation:ListPermissions", "lakeformation:AddLFTagsToResource", "lakeformation:RemoveLFTagsFromResource", "lakeformation:GetResourceLFTags", "lakeformation:ListLFTags", "lakeformation:GetLFTag", "lakeformation:SearchTablesByLFTags", "lakeformation:SearchDatabasesByLFTags", "lakeformation:GetWorkUnits", "lakeformation:GetWorkUnitResults", "lakeformation:StartQueryPlanning", "lakeformation:GetQueryState", "lakeformation:GetQueryStatistics" ], "Resource": "*" } ] }
Politica in linea (per le operazioni su tabelle gestite, incluse le operazioni all'interno delle transazioni)	`{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:StartTransaction", "lakeformation:CommitTransaction", "lakeformation:CancelTransaction", "lakeformation:ExtendTransaction", "lakeformation:DescribeTransaction", "lakeformation:ListTransactions", "lakeformation:GetTableObjects", "lakeformation:UpdateTableObjects", "lakeformation:DeleteObjectsOnCancel" ], "Resource": "*" } ] }`
Policy in linea (per il controllo dell'accesso ai metadati utilizzando il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC))	`{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:AddLFTagsToResource", "lakeformation:RemoveLFTagsFromResource", "lakeformation:GetResourceLFTags", "lakeformation:ListLFTags", "lakeformation:GetLFTag", "lakeformation:SearchTablesByLFTags", "lakeformation:SearchDatabasesByLFTags" ], "Resource": "*" } ] }`
Politica in linea (politica passrole per il ruolo del flusso di lavoro)	`{ "Version": "2012-10-17", "Statement": [ { "Sid": "PassRolePermissions", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<account-id>:role/<workflow_role>" ] } ] }`

Autorizzazioni per analisti di dati

Tipo di policy Policy

AWS politica gestita AmazonAthenaFullAccess

politica in linea (di base)

Tipo di policy	Policy
AWS politica gestita	`AmazonAthenaFullAccess`
politica in linea (di base)	`{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess", "glue:GetTable", "glue:GetTables", "glue:SearchTables", "glue:GetDatabase", "glue:GetDatabases", "glue:GetPartitions", "lakeformation:GetResourceLFTags", "lakeformation:ListLFTags", "lakeformation:GetLFTag", "lakeformation:SearchTablesByLFTags", "lakeformation:SearchDatabasesByLFTags" ], "Resource": "*" } ] }`
(Facoltativo) Politica in linea (per le operazioni su tabelle gestite, incluse le operazioni all'interno delle transazioni)	`{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:StartTransaction", "lakeformation:CommitTransaction", "lakeformation:CancelTransaction", "lakeformation:ExtendTransaction", "lakeformation:DescribeTransaction", "lakeformation:ListTransactions", "lakeformation:GetTableObjects", "lakeformation:UpdateTableObjects", "lakeformation:DeleteObjectsOnCancel" ], "Resource": "*" } ] }`


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess",
                "glue:GetTable",
                "glue:GetTables",
                "glue:SearchTables",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetPartitions",
                "lakeformation:GetResourceLFTags",
                "lakeformation:ListLFTags",
                "lakeformation:GetLFTag",
                "lakeformation:SearchTablesByLFTags",
                "lakeformation:SearchDatabasesByLFTags"                
           ],
            "Resource": "*"
        }
    ]
}

(Facoltativo) Politica in linea (per le operazioni su tabelle gestite, incluse le operazioni all'interno delle transazioni)


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:StartTransaction",
                "lakeformation:CommitTransaction",
                "lakeformation:CancelTransaction",
                "lakeformation:ExtendTransaction",
                "lakeformation:DescribeTransaction",
                "lakeformation:ListTransactions",
                "lakeformation:GetTableObjects",
                "lakeformation:UpdateTableObjects",
                "lakeformation:DeleteObjectsOnCancel"
            ],
            "Resource": "*"
        }
    ]
}

Autorizzazioni relative ai ruoli del workflow

Questo ruolo dispone delle autorizzazioni necessarie per eseguire un flusso di lavoro. Quando crei un flusso di lavoro, specifichi un ruolo con queste autorizzazioni.

Importante

Nelle seguenti politiche, sostituisci <region> con un identificatore di AWS regione valido (ad esempious-east-1), <account-id> con un numero di AWS conto valido, <workflow_role> con il nome del ruolo del workflow e <your-s3-cloudtrail-bucket> con il percorso Amazon S3 verso i tuoi AWS CloudTrail log.

Tipo di policy	Policy
AWS politica gestita	`AWSGlueServiceRole`
policy in linea (accesso ai dati)	`{ "Version": "2012-10-17", "Statement": [ { "Sid": "Lakeformation", "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess", "lakeformation:GrantPermissions" ], "Resource": "*" } ] }`
Politica in linea (politica passrole per il ruolo del flusso di lavoro)	`{ "Version": "2012-10-17", "Statement": [ { "Sid": "PassRolePermissions", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<account-id>:role/<workflow_role>" ] } ] }`
Policy in linea (per l'acquisizione di dati all'esterno del data lake, ad esempio log) AWS CloudTrail	`{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:GetObject", "s3:ListBucket"], "Resource": ["arn:aws:s3:::<your-s3-cloudtrail-bucket>/*"] } ] }`

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Controllo sottostante dell'accesso ai dati

Modifica delle impostazioni predefinite per il data lake