在 Security Lake 中创建具有查询权限的订阅者的先决条件 - Amazon Security Lake
验证权限创建IAM角色以查询 Security Lake 数据(API且 AWS CLI仅限该步骤)授予 Lake Formation 管理员权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Security Lake 中创建具有查询权限的订阅者的先决条件

您必须实现以下先决条件才能在 Security Lake 中创建具有数据访问权限的订阅用户。

验证权限

在创建具有查询访问权限的订阅用户之前,请确认您有权执行下列操作。

要验证您的权限,请使用IAM查看附加到您的IAM身份的IAM策略。然后,将这些策略中的信息与以下操作列表(您必须有权执行这些操作才能创建具有查询访问权限的订阅用户)进行比较。

  • iam:CreateRole

  • iam:DeleteRolePolicy

  • iam:GetRole

  • iam:PutRolePolicy

  • lakeformation:GrantPermissions

  • lakeformation:ListPermissions

  • lakeformation:RegisterResource

  • lakeformation:RevokePermissions

  • ram:GetResourceShareAssociations

  • ram:GetResourceShares

  • ram:UpdateResourceShare

重要

验证权限后:

  • 如果您打算使用 Security Lake 控制台添加订阅用户,可以跳过下一步,继续执行授予 Lake Formation 管理员权限。Security Lake 会代表您创建所有必要的IAM角色或使用现有角色。

  • 如果您计划使用 Security Lake API 或CLI添加具有查询权限的订阅者,请继续执行下一步以创建用于查询 Security Lake 数据的IAM角色。

创建IAM角色以查询 Security Lake 数据(API且 AWS CLI仅限该步骤)

使用 Security Lake API 或 AWS CLI 向订阅者授予查询访问权限时,您需要创建一个名为的角色AmazonSecurityLakeMetaStoreManager。Security Lake 使用此角色注册 AWS Glue 分区和更新 AWS Glue 表。在创建必要角色时,您可能已经创建了此IAM角色

授予 Lake Formation 管理员权限

您还需要为用于访问 Security Lake 控制台和添加订阅者的IAM角色添加 Lake Formation 管理员权限。

您可以按照以下步骤为您的角色授予 Lake Formation 管理员权限:

  1. 打开 Lake Formation 控制台,网址为https://console.aws.amazon.com/lakeformation/

  2. 以管理用户的身份登录。

  3. 如果显示欢迎使用 Lake Formation 窗口,请选择您在步骤 1 中创建或选择的用户,然后选择“开始”。

  4. 如果没有看到欢迎使用 Lake Formation 窗口,请执行以下步骤来配置 Lake Formation 管理员。

    1. 在导航窗格的权限下,选择管理角色和任务。在数据湖管理员部分,选择选择管理员

    2. 管理数据湖管理员对话框中,为IAM用户和角色选择访问 Security Lake 控制台时使用的管理员角色,然后选择保存

有关更改数据湖管理员权限的更多信息,请参阅 AWS Lake Formation 开发人员指南中的创建数据湖管理员

该IAM角色必须拥有您想要向订阅者授予访问SELECT权限的数据库和表的权限。有关如何执行此操作的说明,请参阅 AWS Lake Formation 开发人员指南中的使用命名资源方法授予数据目录权限