Adicionar criadores de tags do LF - AWS Lake Formation
IAMpermissões necessárias para criar etiquetas LFAdicionar criadores de tags do LF

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Adicionar criadores de tags do LF

Por padrão, os administradores do data lake podem criar, atualizar e excluir tags do LF, atribuir tags aos recursos do catálogo de dados e conceder permissões de tag às entidades principais. Se você quer delegar as operações de criação e gerenciamento de tags a entidades principais que não são administradores, o administrador do data lake pode criar funções de criador de tags do LF e conceder a permissão Create LF-Tag do Lake Formation para as funções. Com a permissão Create LF-Tag concedida, os criadores de tags do LF podem delegar tarefas de criação e manutenção de tags a outras entidades principais não administrativas.

Para que os administradores de data lake atribuam tags LF aos recursos do catálogo de dados, eles precisam conceder a si mesmos permissões de associação em tags LF que não foram criadas por eles.

nota

As concessões de permissão entre contas podem incluir somente permissões Describe e Associate. Você não pode conceder permissões Create LF-Tag, Drop, Alter e Grant with LFTag expressions a entidades principais em uma conta diferente.

Consulte também

IAMpermissões necessárias para criar etiquetas LF

Você deve configurar permissões para permitir que uma entidade principal do Lake Formation crie tags do LF. Adicione a seguinte declaração à política de permissões para a entidade principal que precisa ser um criador de tags do LF.

nota

Embora os administradores do data lake tenham permissões implícitas do Lake Formation para criar, atualizar e excluir tags LF, atribuir tags LF aos recursos e conceder tags LF aos diretores, os administradores do data lake também precisam das seguintes permissões. IAM

Para obter mais informações, consulte Referência de personas e IAM permissões do Lake Formation.

{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags"
     ]
 }

As entidades principais que atribuem tags do LF aos recursos e concedem tags do LF a entidades principais devem ter as mesmas permissões, exceto as CreateLFTag, UpdateLFTag e DeleteLFTag.

Adicionar criadores de tags do LF

Um criador de tags LF pode criar uma tag LF, atualizar a chave e os valores da tag, excluir tags, associar tags aos recursos do catálogo de dados e conceder permissões sobre os recursos do catálogo de dados aos principais usando o método LF-. TBAC O criador de tags do LF também pode conceder essas permissões a entidades principais.

Você pode criar funções de criador de tags LF usando o AWS Lake Formation consoleAPI, o ou o AWS Command Line Interface ()AWS CLI.

console
Para adicionar um criador de tags do LF

  1. Abra o console do Lake Formation em https://console.aws.amazon.com/lakeformation/.

    Faça login como administrador de data lake.

  2. No painel de navegação, em Permissões, selecione permissões e tags do LF.

    Na página Permissões e tags do LF, escolha a seção Criadores de tags do LF e selecione Adicionar criadores de tags do LF.

    LF-Tag creator details form with Usuário do IAM selection and permission options.

  3. Na página Adicionar criadores de tags LF, escolha uma IAM função ou usuário que tenha as permissões necessárias para criar tags LF.

  4. Ativar caixa de seleção de permissão Create LF-Tag.

  5. (Opcional) Para permitir que as entidades principais selecionadas concedam a permissão Create LF-Tag às entidades principais, escolha a permissão Create LF-Tag concedível.

  6. Escolha Adicionar.

AWS CLI
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTag"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTag"
    ]
}

A seguir estão as permissões disponíveis para a função de criador de tags do LF:

Permissão Descrição
Drop Uma entidade principal com essa permissão em uma tag do LF pode excluir uma tag do LF do data lake. A entidade principal obtém a permissão Describe implícita em todos os valores de tag de um recurso de tag do LF.
Alter Uma entidade principal com essa permissão em uma tag do LF pode adicionar ou remover o valor de tag de uma tag do LF. A entidade principal obtém a permissão Alter implícita em todos os valores de tag de uma tag do LF.
Describe Uma entidade principal com essa permissão em uma tag do LF pode visualizar a tag do LF e os valores dela ao atribuir tags do LF a recursos ou conceder permissões em tags do LF. Você pode conceder Describe em todos os valores-chave ou em valores específicos.
Associate Uma entidade principal com essa permissão em uma tag do LF pode atribuir a tag do LF a um recurso do catálogo de dados. Conceder Associate concede implicitamente Describe.
Grant with LF-Tag expression Uma entidade principal com essa permissão em uma tag do LF pode conceder permissões sobre os recursos de um catálogo de dados usando os valores e a chave da tag do LF. Conceder Grant with LF-Tag expression concede implicitamente Describe.

Essas permissões são concedidas. Uma entidade principal que tenha recebido essas permissões com a opção de concessão pode concedê-las a outras entidades principais.