選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

新增 LF 標籤建立者

PDF
焦點模式
新增 LF 標籤建立者 - AWS Lake Formation
建立 LF 標籤所需的 IAM 許可新增 LF 標籤建立者

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

根據預設,資料湖管理員可以建立、更新和刪除 LF 標籤、將標籤指派給 Data Catalog 資源,以及將標籤許可授予主體。如果您想要將標籤建立和管理操作委派給非管理員主體,資料湖管理員可以建立 LF-Tag 建立者角色,並將 Lake Formation Create LF-Tag許可授予角色。透過可授予的Create LF-Tag許可,LF-Tag 建立者可以將標籤建立和維護任務委派給其他非管理主體。

若要讓資料湖管理員將 LF-Tags 指派給 Data Catalog 資源,他們必須授予自己非由他們建立的 LF-Tags 的關聯許可。

注意

跨帳戶許可授予只能包含 DescribeAssociate許可。您無法將 Create LF-TagAlterDropGrant with LFTag expressions許可授予不同帳戶中的主體。

另請參閱

建立 LF 標籤所需的 IAM 許可

您必須設定許可,以允許 Lake Formation 主體建立 LF 標籤。將下列陳述式新增至需要成為 LF-Tag 建立者的主體的許可政策。

注意

雖然資料湖管理員具有隱含的 Lake Formation 許可來建立、更新和刪除 LF-Tags、將 LF-Tags 指派給資源,以及將 LF-Tags 授予主體,但資料湖管理員也需要下列 IAM 許可。

如需詳細資訊,請參閱Lake Formation 角色和 IAM 許可參考

{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags"
     ]
 }

將 LF-Tags 指派給資源並將 LF-Tags 授予主體的主體必須具有相同的許可,但 CreateLFTagUpdateLFTagDeleteLFTag許可除外。

新增 LF 標籤建立者

LF-Tag 建立者可以建立 LF-Tag、更新標籤金鑰和值、刪除標籤、將標籤與 Data Catalog 資源建立關聯,以及使用 LF-TBAC 方法將 Data Catalog 資源的許可授予主體。LF-Tag 建立者也可以將這些許可授予委託人。

您可以使用 AWS Lake Formation 主控台、 API 或 AWS Command Line Interface () 來建立 LF-Tag 建立者角色AWS CLI。

console
新增 LF 標籤建立者

  1. 開啟 Lake Formation 主控台,網址為 https://console.aws.amazon.com/lakeformation/

    以 Datalake 管理員身分登入。

  2. 在導覽窗格中的許可下,選擇 LF 標籤和許可

    LF 標籤和許可頁面上,選擇 LF 標籤建立者區段,然後選擇新增 LF 標籤建立者

    LF-Tag creator details form with IAM 使用者 selection and permission options.

  3. 新增 LF 標籤建立者頁面上,選擇具有建立 LF 標籤所需許可的 IAM 角色或使用者。

  4. 啟用Create LF-Tag許可核取方塊。

  5. (選用) 若要讓選取的委託人授予委託人Create LF-Tag許可,請選擇可授予Create LF-Tag許可。

  6. 選擇新增

AWS CLI
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTag"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTag"
    ]
}
anchoranchor
新增 LF 標籤建立者

  1. 開啟 Lake Formation 主控台,網址為 https://console.aws.amazon.com/lakeformation/

    以 Datalake 管理員身分登入。

  2. 在導覽窗格中的許可下,選擇 LF 標籤和許可

    LF 標籤和許可頁面上,選擇 LF 標籤建立者區段,然後選擇新增 LF 標籤建立者

    LF-Tag creator details form with IAM 使用者 selection and permission options.

  3. 新增 LF 標籤建立者頁面上,選擇具有建立 LF 標籤所需許可的 IAM 角色或使用者。

  4. 啟用Create LF-Tag許可核取方塊。

  5. (選用) 若要讓選取的委託人授予委託人Create LF-Tag許可,請選擇可授予Create LF-Tag許可。

  6. 選擇新增

以下是 LF-Tag 建立者角色可用的許可:

權限 描述
Drop 在 LF-Tag 上具有此許可的主體可以從資料湖中刪除 LF-Tag。主體會取得 LF-Tag 資源所有標籤值的隱含Describe許可。
Alter 在 LF-Tag 上具有此許可的主體可以新增或移除 LF-Tag 的標籤值。主體會取得 LF-Tag 所有標籤值的隱含Alter許可。
Describe 在 LF-Tag 上具有此許可的委託人在將 LF-Tags 指派給資源或授予 LF-Tags 許可時,可以檢視 LF-Tag 及其值。您可以Describe針對所有金鑰值或特定值授予 。
Associate 在 LF-Tag 上具有此許可的主體可以將 LF-Tag 指派給 Data Catalog 資源。隱Associate含授予 Describe
Grant with LF-Tag expression 在 LF-Tag 上具有此許可的主體可以使用 LF-Tag 金鑰和值授予 Data Catalog 資源的許可。Grant with LF-Tag expression 隱含授予 Describe

這些許可是可授予的。已透過授予選項授予這些許可的委託人,可以將其授予其他委託人。

在本頁面

Related resources

AWS Lake Formation API 參考
AWS CLI 的 命令 AWS Lake Formation
SDK 與工具 

Related resources

AWS Lake Formation API 參考
AWS CLI 的 命令 AWS Lake Formation
SDK 與工具 
隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。