As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
IAMpermissões necessárias para conceder ou revogar as permissões do Lake Formation
Todos os diretores, incluindo o administrador do data lake, precisam das seguintes permissões AWS Identity and Access Management (IAM) para conceder ou revogar as permissões do Catálogo de AWS Lake Formation Dados ou as permissões de localização de dados com o Lake Formation API ou o: AWS CLI
-
lakeformation:GrantPermissions -
lakeformation:BatchGrantPermissions -
lakeformation:RevokePermissions -
lakeformation:BatchRevokePermissions -
glue:GetTableouglue:GetDatabasepara uma tabela ou um banco de dados para o qual você está concedendo permissões com o método de recurso nomeado.
nota
Os administradores do data lake possuem permissões implícitas do Lake Formation para conceder e revogar permissões do Lake Formation. Mas eles ainda precisam das IAM permissões para conceder e revogar as API operações do Lake Formation.
IAMfunções com política AWSLakeFormationDataAdmin AWS gerenciada não podem adicionar novos administradores de data lake porque essa política contém uma negação explícita para a API operação de Lake Formation,. PutDataLakeSetting
A IAM política a seguir é recomendada para diretores que não são administradores de data lake e que desejam conceder ou revogar permissões usando o console do Lake Formation.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:ListPermissions", "lakeformation:GrantPermissions", "lakeformation:BatchGrantPermissions", "lakeformation:RevokePermissions", "lakeformation:BatchRevokePermissions", "glue:GetDatabases", "glue:SearchTables", "glue:GetTables", "glue:GetDatabase", "glue:GetTable", "iam:ListUsers", "iam:ListRoles", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso:DescribeInstance" ], "Resource": "*" } ] }
Todas glue: as iam: permissões desta política estão disponíveis na política AWS gerenciadaAWSGlueConsoleFullAccess.
Para conceder permissões usando o controle de acesso baseado em tags (LF-TBAC) do Lake Formation, os diretores precisam de permissões adicionaisIAM. Para ter mais informações, consulte Considerações e práticas recomendadas de controle de acesso com base em tags do Lake Formation e Referência de personas e IAM permissões do Lake Formation.
Permissões do entre contas
Os usuários que desejam conceder permissões entre contas do Lake Formation usando o método de recurso nomeado também devem ter as permissões na política AWSLakeFormationCrossAccountManager AWS gerenciada.
Os administradores do Data Lake precisam dessas mesmas permissões para conceder permissões entre contas, além da permissão AWS Resource Access Manager (AWS RAM) para permitir a concessão de permissões às organizações. Para obter mais informações, consulte Permissões de administrador do data lake.
O usuário administrador
Um diretor com permissões administrativas — por exemplo, com a política AdministratorAccess AWS gerenciada — tem permissões para conceder permissões do Lake Formation e criar administradores de data lake. Para negar a um usuário ou função o acesso às operações de administrador do Lake Formation, anexe ou adicione à sua política uma Deny declaração para API as operações do administrador.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lakeformation:GetDataLakeSettings", "lakeformation:PutDataLakeSettings" ], "Effect": "Deny", "Resource": [ "*" ] } ] }
Importante
Para evitar que os usuários se adicionem como administradores com um script de extração, transformação e carregamento (ETL), certifique-se de que todos os usuários e funções não administradores tenham acesso negado a essas API operações. A política AWSLakeFormationDataAdmin AWS
gerenciada contém uma negação explícita da API operação Lake Formation, PutDataLakeSetting que impede que os usuários adicionem novos administradores de data lake.
