新增 LF 標籤建立者 - AWS Lake Formation
建立 LF 標籤所需的 IAM 許可新增 LF 標籤建立者

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

新增 LF 標籤建立者

根據預設,資料湖管理員可以建立、更新和刪除 LF 標籤、將標籤指派給 Data Catalog 資源,以及將標籤許可授予主體。如果您想要將標籤建立和管理操作委派給非管理員主體,資料湖管理員可以建立 LF-Tag 建立者角色,並將 Lake Formation Create LF-Tag許可授予角色。透過可授予的Create LF-Tag許可,LF-Tag 建立者可以將標籤建立和維護任務委派給其他非管理主體。

若要讓資料湖管理員將 LF-Tags 指派給 Data Catalog 資源,他們必須授予自己非由他們建立的 LF-Tags 的關聯許可。

注意

跨帳戶許可授予只能包含 DescribeAssociate許可。您無法將 Create LF-TagAlterDropGrant with LFTag expressions許可授予不同帳戶中的主體。

另請參閱

建立 LF 標籤所需的 IAM 許可

您必須設定許可,以允許 Lake Formation 主體建立 LF 標籤。將下列陳述式新增至需要成為 LF-Tag 建立者的主體的許可政策。

注意

雖然資料湖管理員具有隱含的 Lake Formation 許可來建立、更新和刪除 LF-Tags、將 LF-Tags 指派給資源,以及將 LF-Tags 授予主體,但資料湖管理員也需要下列 IAM 許可。

如需詳細資訊,請參閱Lake Formation 角色和 IAM 許可參考

{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags"
     ]
 }

將 LF-Tags 指派給資源並將 LF-Tags 授予主體的主體必須具有相同的許可,但 CreateLFTagUpdateLFTagDeleteLFTag許可除外。

新增 LF 標籤建立者

LF-Tag 建立者可以建立 LF-Tag、更新標籤金鑰和值、刪除標籤、將標籤與 Data Catalog 資源建立關聯,以及使用 LF-TBAC 方法將 Data Catalog 資源的許可授予主體。LF-Tag 建立者也可以將這些許可授予委託人。

您可以使用 AWS Lake Formation 主控台、 API 或 AWS Command Line Interface () 來建立 LF-Tag 建立者角色AWS CLI。

console
新增 LF 標籤建立者

  1. 開啟 Lake Formation 主控台,網址為 https://console.aws.amazon.com/lakeformation/

    以 Datalake 管理員身分登入。

  2. 在導覽窗格中的許可下,選擇 LF 標籤和許可

    LF 標籤和許可頁面上,選擇 LF 標籤建立者區段,然後選擇新增 LF 標籤建立者

    LF-Tag creator details form with IAM 使用者 selection and permission options.

  3. 新增 LF 標籤建立者頁面上,選擇具有建立 LF 標籤所需許可的 IAM 角色或使用者。

  4. 啟用Create LF-Tag許可核取方塊。

  5. (選用) 若要讓選取的委託人授予委託人Create LF-Tag許可,請選擇可授予Create LF-Tag許可。

  6. 選擇新增

AWS CLI
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTag"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTag"
    ]
}

以下是 LF-Tag 建立者角色可用的許可:

權限 描述
Drop 在 LF-Tag 上具有此許可的主體可以從資料湖中刪除 LF-Tag。主體會取得 LF-Tag 資源所有標籤值的隱含Describe許可。
Alter 在 LF-Tag 上具有此許可的主體可以新增或移除 LF-Tag 的標籤值。主體會取得 LF-Tag 所有標籤值的隱含Alter許可。
Describe 在 LF-Tag 上具有此許可的委託人在將 LF-Tags 指派給資源或授予 LF-Tags 許可時,可以檢視 LF-Tag 及其值。您可以Describe針對所有金鑰值或特定值授予 。
Associate 在 LF-Tag 上具有此許可的主體可以將 LF-Tag 指派給 Data Catalog 資源。隱Associate含授予 Describe
Grant with LF-Tag expression 在 LF-Tag 上具有此許可的主體可以使用 LF-Tag 金鑰和值授予 Data Catalog 資源的許可。Grant with LF-Tag expression 隱含授予 Describe

這些許可是可授予的。已透過授予選項授予這些許可的委託人,可以將其授予其他委託人。