Permissões implícitas do Lake Formation - AWS Lake Formation

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões implícitas do Lake Formation

AWS Lake Formation concede as seguintes permissões implícitas aos administradores do data lake, criadores de banco de dados e criadores de tabelas.

Administradores de data lake

  • Tenha acesso Describe a todos os recursos do catálogo de dados, exceto aos recursos compartilhados de outra conta diretamente com uma entidade principal diferente. Esse acesso não pode ser revogado por um administrador.

  • Tenha permissões de localização de dados em todos os lugares no data lake.

  • Pode conceder ou revogar o acesso a quaisquer recursos no catálogo de dados a qualquer entidade principal (inclusive a si mesmo). Esse acesso não pode ser revogado por um administrador.

  • Pode criar bancos de dados no catálogo de dados.

  • Pode conceder permissão para criar um banco de dados para outro usuário.

nota

Os administradores do data lake podem registrar locais do Amazon S3 somente se tiverem permissões do IAM para fazer isso. As políticas de administrador de data lake sugeridas neste guia concedem essas permissões. Além disso, os administradores do data lake não têm permissões implícitas para eliminar bancos de dados ou alterar/eliminar tabelas criadas por outras pessoas. No entanto, eles podem conceder a si mesmos permissões para fazer isso.

Para obter mais informações sobre administradores de data lake, consulte Crie um administrador de data lake.

Criadores de banco de dados

  • Tenha todas as permissões de banco de dados nos bancos de dados que eles criam, tenham permissões nas tabelas que eles criam no banco de dados e possam conceder a outros diretores da mesma AWS conta permissão para criar tabelas no banco de dados. Um criador de banco de dados que também tenha a política AWSLakeFormationCrossAccountManager AWS gerenciada pode conceder permissões no banco de dados para outras AWS contas ou organizações.

    Os administradores do data lake podem usar o console ou a API do Lake Formation para designar criadores de banco de dados.

    nota

    Os criadores de banco de dados não possui permissões implícitas em tabelas que outras pessoas criam no banco de dados.

Para ter mais informações, consulte Criação de um banco de dados.

Criadores de tabelas

  • Tenha todas as permissões nas tabelas que eles criam.

  • Podem conceder permissões em todas as tabelas que eles criam para entidades principais na mesma conta da AWS .

  • Podem conceder permissões em todas as tabelas que eles criam para outras AWS contas ou organizações se tiverem a política AWSLakeFormationCrossAccountManager AWS gerenciada.

  • Pode visualizar os bancos de dados que contêm as tabelas que eles criam.