在 Security Lake 中创建具有查询权限的订阅者的先决条件 - Amazon Security Lake
验证权限创建 IAM 角色以查询 Security Lake 数据( AWS CLI仅限 API 和步骤)授予 Lake Formation 管理员权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Security Lake 中创建具有查询权限的订阅者的先决条件

您必须实现以下先决条件才能在 Security Lake 中创建具有数据访问权限的订阅用户。

验证权限

在创建具有查询访问权限的订阅用户之前,请确认您有权执行下列操作。

要验证您的权限,请使用 IAM 查看附加到 IAM 身份的 IAM 策略。然后,将这些策略中的信息与以下操作列表(您必须有权执行这些操作才能创建具有查询访问权限的订阅用户)进行比较。

  • glue:PutResourcePolicy

  • glue:DeleteResourcePolicy

  • iam:CreateRole

  • iam:DeleteRolePolicy

  • iam:GetRole

  • iam:PutRolePolicy

  • lakeformation:GrantPermissions

  • lakeformation:ListPermissions

  • lakeformation:RegisterResource

  • lakeformation:RevokePermissions

  • ram:GetResourceShareAssociations

  • ram:GetResourceShares

  • ram:UpdateResourceShare

重要

验证权限后:

  • 如果您打算使用 Security Lake 控制台添加订阅用户,可以跳过下一步,继续执行授予 Lake Formation 管理员权限。Security Lake 会为您创建所有必要的 IAM 角色或使用现有角色。

  • 如果您准备使用 Security Lake API 或 CLI 添加具有查询访问权限的订阅用户,请继续执行下一步,创建 IAM 角色来查询 Security Lake 数据。

创建 IAM 角色以查询 Security Lake 数据( AWS CLI仅限 API 和步骤)

在使用 Security Lake API 或 AWS CLI 向订阅者授予查询访问权限时,您需要创建一个名为的角色AmazonSecurityLakeMetaStoreManager。Security Lake 使用此角色注册 AWS Glue 分区和更新 AWS Glue 表。您可能已经在创建必要的 IAM 角色时创建了此角色。

授予 Lake Formation 管理员权限

您还需要向用于访问 Security Lake 控制台和添加订阅用户的 IAM 角色添加 Lake Formation 管理员权限。

您可以按照以下步骤为您的角色授予 Lake Formation 管理员权限:

  1. 打开 Lake Formation 控制台,网址为https://console.aws.amazon.com/lakeformation/

  2. 以管理用户的身份登录。

  3. 如果显示欢迎使用 Lake Formation 窗口,请选择您在步骤 1 中创建或选择的用户,然后选择“开始”。

  4. 如果没有看到欢迎使用 Lake Formation 窗口,请执行以下步骤来配置 Lake Formation 管理员。

    1. 在导航窗格的权限下,选择管理角色和任务。在数据湖管理员部分,选择选择管理员

    2. 管理数据湖管理员对话框中,对于 IAM 用户和角色,选择访问 Security Lake 控制台时使用的管理员角色,然后选择保存

有关更改数据湖管理员权限的更多信息,请参阅 AWS Lake Formation 开发人员指南中的创建数据湖管理员

IAM 角色必须拥有对您想要向订阅用户授予访问权限的数据库和表的 SELECT 权限。有关如何执行此操作的说明,请参阅 AWS Lake Formation 开发人员指南中的使用命名资源方法授予数据目录权限