本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
新增 LF 標籤建立者
根據預設,資料湖管理員可以建立、更新和刪除 LF 標籤、將標籤指派給 Data Catalog 資源,以及將標籤許可授予主體。如果您想要將標籤建立和管理操作委派給非管理員主體,資料湖管理員可以建立 LF-Tag 建立者角色,並將 Lake Formation Create LF-Tag
許可授予角色。透過可授予的Create LF-Tag
許可,LF-Tag 建立者可以將標籤建立和維護任務委派給其他非管理主體。
若要讓資料湖管理員將 LF-Tags 指派給 Data Catalog 資源,他們必須授予自己非由他們建立的 LF-Tags 的關聯許可。
注意
跨帳戶許可授予只能包含 Describe
和 Associate
許可。您無法將 Create LF-Tag
、Alter
、 Drop
和 Grant with LFTag expressions
許可授予不同帳戶中的主體。
建立 LF 標籤所需的 IAM 許可
您必須設定許可,以允許 Lake Formation 主體建立 LF 標籤。將下列陳述式新增至需要成為 LF-Tag 建立者的主體的許可政策。
注意
雖然資料湖管理員具有隱含的 Lake Formation 許可來建立、更新和刪除 LF-Tags、將 LF-Tags 指派給資源,以及將 LF-Tags 授予主體,但資料湖管理員也需要下列 IAM 許可。
如需詳細資訊,請參閱Lake Formation 角色和 IAM 許可參考。
{ "Sid": "Transformational", "Effect": "Allow", "Action": [ "lakeformation:AddLFTagsToResource", "lakeformation:RemoveLFTagsFromResource", "lakeformation:GetResourceLFTags", "lakeformation:ListLFTags", "lakeformation:CreateLFTag", "lakeformation:GetLFTag", "lakeformation:UpdateLFTag", "lakeformation:DeleteLFTag", "lakeformation:SearchTablesByLFTags", "lakeformation:SearchDatabasesByLFTags" ] }
將 LF-Tags 指派給資源並將 LF-Tags 授予主體的主體必須具有相同的許可,但 CreateLFTag
、 UpdateLFTag
和 DeleteLFTag
許可除外。
新增 LF 標籤建立者
LF-Tag 建立者可以建立 LF-Tag、更新標籤金鑰和值、刪除標籤、將標籤與 Data Catalog 資源建立關聯,以及使用 LF-TBAC 方法將 Data Catalog 資源的許可授予主體。LF-Tag 建立者也可以將這些許可授予委託人。
您可以使用 AWS Lake Formation 主控台、 API 或 AWS Command Line Interface () 來建立 LF-Tag 建立者角色AWS CLI。
以下是 LF-Tag 建立者角色可用的許可:
權限 | 描述 |
---|---|
Drop |
在 LF-Tag 上具有此許可的主體可以從資料湖中刪除 LF-Tag。主體會取得 LF-Tag 資源所有標籤值的隱含Describe 許可。 |
Alter |
在 LF-Tag 上具有此許可的主體可以新增或移除 LF-Tag 的標籤值。主體會取得 LF-Tag 所有標籤值的隱含Alter 許可。 |
Describe |
在 LF-Tag 上具有此許可的委託人在將 LF-Tags 指派給資源或授予 LF-Tags 許可時,可以檢視 LF-Tag 及其值。您可以Describe 針對所有金鑰值或特定值授予 。 |
Associate |
在 LF-Tag 上具有此許可的主體可以將 LF-Tag 指派給 Data Catalog 資源。隱Associate 含授予 Describe 。 |
Grant with LF-Tag expression |
在 LF-Tag 上具有此許可的主體可以使用 LF-Tag 金鑰和值授予 Data Catalog 資源的許可。Grant with LF-Tag expression 隱含授予 Describe 。 |
這些許可是可授予的。已透過授予選項授予這些許可的委託人,可以將其授予其他委託人。