IAM Lake Formation アクセス許可の付与または取り消しに必要なアクセス許可 - AWS Lake Formation

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Lake Formation アクセス許可の付与または取り消しに必要なアクセス許可

データレイク管理者を含むすべてのプリンシパルは、Lake Formation または を使用して AWS Lake Formation Data Catalog のアクセス許可またはデータロケーションのアクセス許可を付与APIまたは取り消すために、次の AWS Identity and Access Management (IAM) アクセス許可が必要です AWS CLI。

  • lakeformation:GrantPermissions

  • lakeformation:BatchGrantPermissions

  • lakeformation:RevokePermissions

  • lakeformation:BatchRevokePermissions

  • 名前付きリソース方式を使用して許可を付与しているテーブルまたはデータベースの場合は glue:GetTable または glue:GetDatabase

注記

データレイク管理者には Lake Formation 許可を付与して取り消すための黙示的な Lake Formation 許可がありますが、ただし、Lake Formation の許可と取り消しAPIオペレーションに対するIAMアクセス許可は依然として必要です。

IAM AWSLakeFormationDataAdmin AWS マネージドポリシーを持つ ロールは、Lake Formation APIオペレーション に対する明示的な拒否が含まれているため、新しいデータレイク管理者を追加できませんPutDataLakeSetting

データレイク管理者ではなく、Lake Formation コンソールを使用してアクセス許可を付与または取り消したいプリンシパルには、次のIAMポリシーをお勧めします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:ListPermissions",
                "lakeformation:GrantPermissions",
                "lakeformation:BatchGrantPermissions",
                "lakeformation:RevokePermissions",
                "lakeformation:BatchRevokePermissions",
                "glue:GetDatabases",
                "glue:SearchTables",
                "glue:GetTables",
                "glue:GetDatabase",
                "glue:GetTable",
                "iam:ListUsers",
                "iam:ListRoles",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "sso:DescribeInstance"
            ],
            "Resource": "*"
        }
    ]
}

このポリシーのすべての glue:および iam: アクセス許可は、 AWS マネージドポリシー で利用できますAWSGlueConsoleFullAccess

Lake Formation タグベースのアクセスコントロール (LF-TBAC) を使用してアクセス許可を付与するには、プリンシパルに追加のアクセスIAM許可が必要です。詳細については、「Lake Formation のタグベースのアクセスコントロールのベストプラクティスと考慮事項」および「Lake Formation ペルソナとIAMアクセス許可リファレンス」を参照してください。

クロスアカウント アクセス許可

名前付きリソースメソッドを使用してクロスアカウント Lake Formation のアクセス許可を付与するユーザーには、 AWSLakeFormationCrossAccountManager AWS マネージドポリシーのアクセス許可も必要です。

データレイク管理者は、クロスアカウントアクセス許可を付与するには同じアクセス許可が必要です。さらに、組織へのアクセス許可の付与を有効にするには AWS Resource Access Manager (AWS RAM) アクセス許可が必要です。詳細については、「データレイク管理者の許可」を参照してください。

管理ユーザー

AdministratorAccess AWS 管理ポリシーなどの管理アクセス許可を持つプリンシパルには、Lake Formation にアクセス許可を付与し、データレイク管理者を作成するアクセス許可があります。Lake Formation 管理者オペレーションへのユーザーまたはロールのアクセスを拒否するには、管理者APIオペレーションのDenyステートメントをアタッチまたはポリシーに追加します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "lakeformation:GetDataLakeSettings",
                "lakeformation:PutDataLakeSettings"
            ],
            "Effect": "Deny",
            "Resource": [
                "*"
            ]
        }
    ]
}
重要

ユーザーが抽出、変換、ロード (ETL) スクリプトを使用して管理者として自分自身を追加できないようにするには、管理者以外のすべてのユーザーとロールがこれらのAPIオペレーションへのアクセスを拒否されていることを確認します。AWSLakeFormationDataAdmin AWS マネージドポリシーには、ユーザーが新しいデータレイク管理者を追加できないPutDataLakeSettingように、Lake Formation APIオペレーションの明示的な拒否が含まれています。