AWS Lake Formation persone AWS politiche gestite per Lake Formation Autorizzazioni suggerite da Personas

Riferimento ai personaggi di Lake Formation e alle autorizzazioni IAM

Questa sezione elenca alcuni personaggi suggeriti di Lake Formation e le relative autorizzazioni suggerite AWS Identity and Access Management (IAM). Per informazioni sulle autorizzazioni di Lake Formation, vedereRiferimento alle autorizzazioni di Lake Formation.

AWS Lake Formation persone

La tabella seguente elenca i AWS Lake Formation personaggi suggeriti.

Personaggi di Lake Formation
Utente	Descrizione
Amministratore IAM (superutente)	(Obbligatorio) Utente che può creare utenti e ruoli IAM. Dispone della politica `AdministratorAccess` AWS gestita. Dispone di tutte le autorizzazioni su tutte le risorse di Lake Formation. Può aggiungere amministratori di data lake. Non può concedere le autorizzazioni di Lake Formation se non è stato designato anche un amministratore del data lake.
Amministratore del data lake	(Obbligatorio) Utente in grado di registrare sedi Amazon S3, accedere al Data Catalog, creare database, creare ed eseguire flussi di lavoro, concedere autorizzazioni Lake Formation ad altri utenti e visualizzare i log. AWS CloudTrail Dispone di meno autorizzazioni IAM rispetto all'amministratore IAM, ma sufficienti per amministrare il data lake. Impossibile aggiungere altri amministratori di data lake.
Amministratore di sola lettura	(Facoltativo) Utente che può visualizzare i principali, le risorse del Data Catalog, le autorizzazioni e AWS CloudTrail i registri, senza le autorizzazioni per effettuare aggiornamenti.
Ingegnere dei dati	(Facoltativo) Utente che può creare database, creare ed eseguire crawler e flussi di lavoro e concedere autorizzazioni Lake Formation sulle tabelle del Data Catalog create dai crawler e dai flussi di lavoro. Ti consigliamo di nominare tutti i data engineer creatori di database. Per ulteriori informazioni, consulta Creazione di un database.
Analista dei dati	(Facoltativo) Utente che può eseguire query sul data lake utilizzando, ad esempio,. Amazon Athena Dispone solo delle autorizzazioni sufficienti per eseguire le query.
Ruolo del workflow	(Obbligatorio) Ruolo che esegue un flusso di lavoro per conto di un utente. Questo ruolo viene specificato quando si crea un flusso di lavoro da un blueprint.

AWS politiche gestite per Lake Formation

Puoi concedere le autorizzazioni AWS Identity and Access Management (IAM) necessarie per lavorare AWS Lake Formation utilizzando policy AWS gestite e policy in linea. Le seguenti politiche AWS gestite sono disponibili per Lake Formation.

AWS politica gestita: AWSLakeFormationDataAdmin

AWSLakeFormationDataAdminla politica garantisce l'accesso amministrativo AWS Lake Formation ai servizi correlati, come AWS Glue la gestione dei data lake.

Puoi collegarti AWSLakeFormationDataAdmin ai tuoi utenti, gruppi e ruoli.

Dettagli sulle autorizzazioni

CloudTrail— Consente ai responsabili di visualizzare i AWS CloudTrail registri. Ciò è necessario per esaminare eventuali errori nella configurazione del data lake.
Glue— Consente ai responsabili di visualizzare, creare e aggiornare tabelle e database di metadati in Data Catalog. Ciò include le operazioni API che iniziano conGet,List,, Create UpdateDelete, e. Search Ciò è necessario per gestire i metadati delle tabelle del data lake.
IAM— Consente ai responsabili di recuperare informazioni sugli utenti, i ruoli e le policy IAM associati ai ruoli. Ciò è necessario affinché l'amministratore dei dati riveda ed elenchi gli utenti e i ruoli IAM a cui concedere le autorizzazioni di Lake Formation.
Lake Formation— Concede agli amministratori dei data lake le autorizzazioni necessarie per Lake Formation per gestire i data lake.
S3— Consente ai responsabili di recuperare informazioni sui bucket Amazon S3 e sulle loro posizioni per configurare la posizione dei dati per i data lake.


"Statement": [
        {
            "Sid": "AWSLakeFormationDataAdminAllow",
            "Effect": "Allow",
            "Action": [
                "lakeformation:*",
                "cloudtrail:DescribeTrails",
                "cloudtrail:LookupEvents",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:CreateDatabase",
                "glue:UpdateDatabase",
                "glue:DeleteDatabase",
                "glue:GetConnections",
                "glue:SearchTables",
                "glue:GetTable",
                "glue:CreateTable",
                "glue:UpdateTable",
                "glue:DeleteTable",
                "glue:GetTableVersions",
                "glue:GetPartitions",
                "glue:GetTables",
                "glue:ListWorkflows",
                "glue:BatchGetWorkflows",
                "glue:DeleteWorkflow",
                "glue:GetWorkflowRuns",
                "glue:StartWorkflowRun",
                "glue:GetWorkflow",
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:GetBucketAcl",
                "iam:ListUsers",
                "iam:ListRoles",
                "iam:GetRole",
                "iam:GetRolePolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AWSLakeFormationDataAdminDeny",
            "Effect": "Deny",
            "Action": [
                "lakeformation:PutDataLakeSettings"
            ],
                "Resource": "*"
        }
    ]
}

Nota

La AWSLakeFormationDataAdmin policy non concede tutte le autorizzazioni necessarie agli amministratori dei data lake. Sono necessarie autorizzazioni aggiuntive per creare ed eseguire flussi di lavoro e registrare posizioni con il ruolo collegato al servizio. AWSServiceRoleForLakeFormationDataAccess Per ulteriori informazioni, consulta Crea un amministratore del data lake e Utilizzo di ruoli collegati ai servizi per Lake Formation.

AWS politica gestita: AWSLakeFormationCrossAccountManager

AWSLakeFormationCrossAccountManagerla politica fornisce l'accesso multiaccount alle AWS Glue risorse tramite Lake Formation e garantisce l'accesso in lettura ad altri servizi richiesti come AWS Organizations e AWS RAM.

Puoi collegarti AWSLakeFormationCrossAccountManager ai tuoi utenti, gruppi e ruoli.

Dettagli sulle autorizzazioni

Questa policy include le seguenti autorizzazioni:

Glue— Consente ai responsabili di impostare o eliminare la politica delle risorse del Data Catalog per il controllo degli accessi.
Organizations— Consente ai responsabili di recuperare le informazioni sull'account e sull'unità organizzativa (OU) di un'organizzazione.
ram:CreateResourceShare— Consente ai dirigenti di creare una condivisione di risorse.
ram:UpdateResourceShare— Consente ai principali di modificare alcune proprietà della condivisione di risorse specificata.
ram:DeleteResourceShare— Consente ai principali di eliminare la condivisione di risorse specificata.
ram:AssociateResourceShare— Consente ai responsabili di aggiungere l'elenco di principali e l'elenco di risorse specificati a una condivisione di risorse.
ram:DisassociateResourceShare— Consente ai principali di rimuovere i principali o le risorse specificati dalla partecipazione alla condivisione di risorse specificata.
ram:GetResourceShares— Consente ai responsabili di recuperare i dettagli sulle condivisioni di risorse che possiedi o che sono condivise con te.
ram:RequestedResourceType— Consente ai responsabili di recuperare il tipo di risorsa (database, tabella o catalogo).
AssociateResourceSharePermission— Consente ai responsabili di aggiungere o sostituire l' AWS RAM autorizzazione per un tipo di risorsa incluso in una condivisione di risorse. È possibile associare esattamente un'autorizzazione a ciascun tipo di risorsa nella condivisione di risorse.


{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AllowCreateResourceShare",
            "Effect": "Allow",
            "Action": [
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringLikeIfExists": {
                    "ram:RequestedResourceType": [
                        "glue:Table",
                        "glue:Database",
                        "glue:Catalog"
                    ]
                }
            }
        },
        {
            "Sid": "AllowManageResourceShare",
            "Effect": "Allow",
            "Action": [
                "ram:UpdateResourceShare",
                "ram:DeleteResourceShare",
                "ram:AssociateResourceShare",
                "ram:DisassociateResourceShare",
                "ram:GetResourceShares"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:ResourceShareName": [
                        "LakeFormation*"
                    ]
                }
            }
        },
        {
            "Sid": "AllowManageResourceSharePermissions",
            "Effect": "Allow",
            "Action": [
                "ram:AssociateResourceSharePermission"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:PermissionArn": [
                        "arn:aws:ram::aws:permission/AWSRAMLFEnabled*"
                    ]
                }
            }
        },
        {
            "Sid": "AllowXAcctManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "glue:PutResourcePolicy",
                "glue:DeleteResourcePolicy",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "ram:Get*",
                "ram:List*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowOrganizationsPermissions",
            "Effect": "Allow",
            "Action": [
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        }
    ]
}

AWS politica gestita: AWSGlueConsoleFullAccess

AWSGlueConsoleFullAccessla politica garantisce l'accesso completo alle AWS Glue risorse quando un'identità a cui è associata la politica utilizza il AWS Management Console. Se segui la convenzione per la denominazione per le risorse specificate nella policy, gli utenti hanno la piena funzionalità della console. Questo criterio è in genere associato agli utenti della AWS Glue console.

Inoltre, AWS Glue Lake Formation assume il ruolo di servizio AWSGlueServiceRole per consentire l'accesso ai servizi correlati, tra cui Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) e Amazon. CloudWatch

AWS managed policy:LakeFormationDataAccessServiceRolePolicy

Questa policy è associata a un ruolo collegato al servizio denominato ServiceRoleForLakeFormationDataAccess che consente al servizio di eseguire azioni sulle risorse su richiesta dell'utente. Non puoi collegare questa policy alle tue identità IAM.

Questa policy consente ai AWS servizi integrati di Lake Formation come Amazon Athena Amazon Redshift di utilizzare il ruolo collegato ai servizi per scoprire le risorse di Amazon S3.

Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per Lake Formation.

Dettagli di autorizzazione

Questa politica include le seguenti autorizzazioni.

s3:ListAllMyBuckets— Restituisce un elenco di tutti i bucket di proprietà del mittente autenticato della richiesta.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "LakeFormationDataAccessServiceRolePolicy",
			"Effect": "Allow",
			"Action": [
				"s3:ListAllMyBuckets"
			],
			"Resource": [
				"arn:aws:s3:::*"
			]
		}
	]
}

Lake Formation: aggiornamenti alle politiche AWS gestite

Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per Lake Formation da quando questo servizio ha iniziato a tracciare queste modifiche.

Modifica	Descrizione	Data
`AWSLakeFormationCrossAccountManager`Politica aggiornata di Lake Formation.	Lake Formation ha migliorato la AWSLakeFormationCrossAccountManagerpolitica aggiungendo elementi Sid alla dichiarazione politica.	marzo 2024
`AWSLakeFormationDataAdmin`Politica aggiornata di Lake Formation.	Lake Formation ha migliorato la AWSLakeFormationDataAdminpolitica aggiungendo un elemento Sid alla dichiarazione politica e rimuovendo un'azione ridondante.	marzo 2024
`LakeFormationDataAccessServiceRolePolicy`Politica aggiornata di Lake Formation.	Lake Formation ha migliorato la LakeFormationDataAccessServiceRolePolicypolitica aggiungendo un elemento Sid alla dichiarazione politica.	febbraio 2024
`AWSLakeFormationCrossAccountManager`Politica aggiornata di Lake Formation.	Lake Formation ha migliorato la AWSLakeFormationCrossAccountManagerpolitica aggiungendo una nuova autorizzazione per abilitare la condivisione dei dati tra account in modalità di accesso ibrido.	ottobre 2023
`AWSLakeFormationCrossAccountManager`Politica aggiornata di Lake Formation.	Lake Formation ha migliorato la AWSLakeFormationCrossAccountManagerpolitica per creare una sola condivisione di risorse per account destinatario quando la risorsa viene condivisa per la prima volta. Tutte le risorse condivise successivamente con lo stesso account vengono allegate alla stessa condivisione di risorse.	6 maggio 2022
Lake Formation ha iniziato a tracciare le modifiche.	Lake Formation ha iniziato a tracciare le modifiche per le sue politiche AWS gestite.	6 maggio 2022

Autorizzazioni suggerite da Personas

Di seguito sono riportate le autorizzazioni suggerite per ogni persona. L'amministratore IAM non è incluso perché quell'utente dispone di tutte le autorizzazioni su tutte le risorse.

Argomenti

Autorizzazioni di amministratore di Data Lake
Autorizzazioni di amministratore di sola lettura
Autorizzazioni del tecnico dei dati
Autorizzazioni per analisti di dati
Autorizzazioni relative ai ruoli del workflow

Autorizzazioni di amministratore di Data Lake

Importante

Nei seguenti criteri, sostituiscili <account-id>con un numero di AWS account valido e sostituiscili <workflow_role>con il nome di un ruolo che dispone delle autorizzazioni per eseguire un flusso di lavoro, come definito in. Autorizzazioni relative ai ruoli del workflow

Tipo di policy	Policy
AWS politiche gestite	`AWSLakeFormationDataAdmin` `LakeFormationDataAccessServiceRolePolicy`(politica relativa ai ruoli legati ai servizi) `AWSGlueConsoleFullAccess` (facoltativo). `CloudWatchLogsReadOnlyAccess` (facoltativo) `AWSLakeFormationCrossAccountManager` (facoltativo) `AmazonAthenaFullAccess` (facoltativo). Per informazioni sulle politiche AWS gestite opzionali, vedere. Crea un amministratore del data lake
Politica in linea (per la creazione del ruolo collegato ai servizi di Lake Formation)	`{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "lakeformation.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::<account-id>:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess" } ] }`
(Facoltativo) Politica in linea (politica passrole per il ruolo del flusso di lavoro). Questa operazione è necessaria solo se l'amministratore del data lake crea ed esegue flussi di lavoro.	`{ "Version": "2012-10-17", "Statement": [ { "Sid": "PassRolePermissions", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<account-id>:role/<workflow_role>" ] } ] }`
(Facoltativo) Politica in linea (se il tuo account concede o riceve autorizzazioni Lake Formation per più account). Questa politica serve ad accettare o rifiutare gli inviti alla condivisione di AWS RAM risorse e a consentire la concessione di autorizzazioni per più account alle organizzazioni. `ram:EnableSharingWithAwsOrganization`è richiesto solo per gli amministratori del data lake presenti nell'account di gestione. AWS Organizations	`{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ram:AcceptResourceShareInvitation", "ram:RejectResourceShareInvitation", "ec2:DescribeAvailabilityZones", "ram:EnableSharingWithAwsOrganization" ], "Resource": "*" } ] }`

Autorizzazioni di amministratore di sola lettura

Tipo di policy Policy

Politica in linea (di base)

Tipo di policy	Policy
Politica in linea (di base)	{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "lakeformation:GetEffectivePermissionsForPath", "lakeformation:ListPermissions", "lakeformation:ListDataCellsFilter", "lakeformation:GetDataCellsFilter", "lakeformation:SearchDatabasesByLFTags", "lakeformation:SearchTablesByLFTags", "lakeformation:GetLFTag", "lakeformation:ListLFTags", "lakeformation:GetResourceLFTags", "lakeformation:ListLakeFormationOptins", "cloudtrail:DescribeTrails", "cloudtrail:LookupEvents", "glue:GetDatabase", "glue:GetDatabases", "glue:GetConnections", "glue:SearchTables", "glue:GetTable", "glue:GetTableVersions", "glue:GetPartitions", "glue:GetTables", "glue:GetWorkflow", "glue:ListWorkflows", "glue:BatchGetWorkflows", "glue:GetWorkflowRuns", "glue:GetWorkflow", "s3:ListBucket", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "iam:ListUsers", "iam:ListRoles", "iam:GetRole", "iam:GetRolePolicy" ], "Resource":"" }, { "Effect":"Deny", "Action":[ "lakeformation:PutDataLakeSettings" ], "Resource":"" } ] }


{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "lakeformation:GetEffectivePermissionsForPath",
            "lakeformation:ListPermissions",
            "lakeformation:ListDataCellsFilter",
            "lakeformation:GetDataCellsFilter",
            "lakeformation:SearchDatabasesByLFTags",
            "lakeformation:SearchTablesByLFTags",
            "lakeformation:GetLFTag",
            "lakeformation:ListLFTags",
            "lakeformation:GetResourceLFTags",
            "lakeformation:ListLakeFormationOptins",
            "cloudtrail:DescribeTrails",
            "cloudtrail:LookupEvents",
            "glue:GetDatabase",
            "glue:GetDatabases",
            "glue:GetConnections",
            "glue:SearchTables",
            "glue:GetTable",
            "glue:GetTableVersions",
            "glue:GetPartitions",
            "glue:GetTables",
            "glue:GetWorkflow",
            "glue:ListWorkflows",
            "glue:BatchGetWorkflows",
            "glue:GetWorkflowRuns",
            "glue:GetWorkflow",
            "s3:ListBucket",
            "s3:GetBucketLocation",
            "s3:ListAllMyBuckets",
            "s3:GetBucketAcl",
            "iam:ListUsers",
            "iam:ListRoles",
            "iam:GetRole",
            "iam:GetRolePolicy"
         ],
         "Resource":"*"
      },
      {  
         "Effect":"Deny",
         "Action":[  
            "lakeformation:PutDataLakeSettings"
         ],
         "Resource":"*"
      }
   ]
}

Autorizzazioni del tecnico dei dati

Importante

Nelle seguenti politiche, sostituiscilo <account-id>con un numero di AWS account valido e sostituiscilo <workflow_role>con il nome del ruolo del flusso di lavoro.

Tipo di policy	Policy
AWS politica gestita	`AWSGlueConsoleFullAccess`
politica in linea (di base)	{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess", "lakeformation:GrantPermissions", "lakeformation:RevokePermissions", "lakeformation:BatchGrantPermissions", "lakeformation:BatchRevokePermissions", "lakeformation:ListPermissions", "lakeformation:AddLFTagsToResource", "lakeformation:RemoveLFTagsFromResource", "lakeformation:GetResourceLFTags", "lakeformation:ListLFTags", "lakeformation:GetLFTag", "lakeformation:SearchTablesByLFTags", "lakeformation:SearchDatabasesByLFTags", "lakeformation:GetWorkUnits", "lakeformation:GetWorkUnitResults", "lakeformation:StartQueryPlanning", "lakeformation:GetQueryState", "lakeformation:GetQueryStatistics" ], "Resource": "*" } ] }
Politica in linea (per le operazioni su tabelle gestite, incluse le operazioni all'interno delle transazioni)	`{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:StartTransaction", "lakeformation:CommitTransaction", "lakeformation:CancelTransaction", "lakeformation:ExtendTransaction", "lakeformation:DescribeTransaction", "lakeformation:ListTransactions", "lakeformation:GetTableObjects", "lakeformation:UpdateTableObjects", "lakeformation:DeleteObjectsOnCancel" ], "Resource": "*" } ] }`
Policy in linea (per il controllo dell'accesso ai metadati utilizzando il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC))	`{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:AddLFTagsToResource", "lakeformation:RemoveLFTagsFromResource", "lakeformation:GetResourceLFTags", "lakeformation:ListLFTags", "lakeformation:GetLFTag", "lakeformation:SearchTablesByLFTags", "lakeformation:SearchDatabasesByLFTags" ], "Resource": "*" } ] }`
Politica in linea (politica passrole per il ruolo del flusso di lavoro)	`{ "Version": "2012-10-17", "Statement": [ { "Sid": "PassRolePermissions", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<account-id>:role/<workflow_role>" ] } ] }`

Autorizzazioni per analisti di dati

Tipo di policy Policy

AWS politica gestita AmazonAthenaFullAccess

politica in linea (di base)

Tipo di policy	Policy
AWS politica gestita	`AmazonAthenaFullAccess`
politica in linea (di base)	`{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess", "glue:GetTable", "glue:GetTables", "glue:SearchTables", "glue:GetDatabase", "glue:GetDatabases", "glue:GetPartitions", "lakeformation:GetResourceLFTags", "lakeformation:ListLFTags", "lakeformation:GetLFTag", "lakeformation:SearchTablesByLFTags", "lakeformation:SearchDatabasesByLFTags" ], "Resource": "*" } ] }`
(Facoltativo) Politica in linea (per le operazioni su tabelle gestite, incluse le operazioni all'interno delle transazioni)	`{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:StartTransaction", "lakeformation:CommitTransaction", "lakeformation:CancelTransaction", "lakeformation:ExtendTransaction", "lakeformation:DescribeTransaction", "lakeformation:ListTransactions", "lakeformation:GetTableObjects", "lakeformation:UpdateTableObjects", "lakeformation:DeleteObjectsOnCancel" ], "Resource": "*" } ] }`


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess",
                "glue:GetTable",
                "glue:GetTables",
                "glue:SearchTables",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetPartitions",
                "lakeformation:GetResourceLFTags",
                "lakeformation:ListLFTags",
                "lakeformation:GetLFTag",
                "lakeformation:SearchTablesByLFTags",
                "lakeformation:SearchDatabasesByLFTags"                
           ],
            "Resource": "*"
        }
    ]
}

(Facoltativo) Politica in linea (per le operazioni su tabelle gestite, incluse le operazioni all'interno delle transazioni)


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:StartTransaction",
                "lakeformation:CommitTransaction",
                "lakeformation:CancelTransaction",
                "lakeformation:ExtendTransaction",
                "lakeformation:DescribeTransaction",
                "lakeformation:ListTransactions",
                "lakeformation:GetTableObjects",
                "lakeformation:UpdateTableObjects",
                "lakeformation:DeleteObjectsOnCancel"
            ],
            "Resource": "*"
        }
    ]
}

Autorizzazioni relative ai ruoli del workflow

Questo ruolo dispone delle autorizzazioni necessarie per eseguire un flusso di lavoro. Si specifica un ruolo con queste autorizzazioni quando si crea un flusso di lavoro.

Importante

Nelle seguenti politiche, sostituiscilo <region>con un identificatore di AWS regione valido (ad esempious-east-1), <account-id>con un numero di AWS account valido, <workflow_role>con il nome del ruolo del flusso di lavoro e <your-s3-cloudtrail-bucket>con il percorso Amazon S3 verso AWS CloudTrail i log.

Tipo di policy	Policy
AWS politica gestita	`AWSGlueServiceRole`
policy in linea (accesso ai dati)	`{ "Version": "2012-10-17", "Statement": [ { "Sid": "Lakeformation", "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess", "lakeformation:GrantPermissions" ], "Resource": "*" } ] }`
Politica in linea (politica passrole per il ruolo del flusso di lavoro)	`{ "Version": "2012-10-17", "Statement": [ { "Sid": "PassRolePermissions", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<account-id>:role/<workflow_role>" ] } ] }`
Policy in linea (per l'acquisizione di dati all'esterno del data lake, ad esempio log) AWS CloudTrail	`{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:GetObject", "s3:ListBucket"], "Resource": ["arn:aws:s3:::<your-s3-cloudtrail-bucket>/*"] } ] }`

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Controllo sottostante dell'accesso ai dati

Modifica delle impostazioni predefinite per il data lake