選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

新增 LF 標籤建立者

焦點模式
新增 LF 標籤建立者 - AWS Lake Formation

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

根據預設,資料湖管理員可以建立、更新和刪除 LF 標籤、將標籤指派給 Data Catalog 資源,以及將標籤許可授予主體。如果您想要將標籤建立和管理操作委派給非管理員主體,資料湖管理員可以建立 LF-Tag 建立者角色,並將 Lake Formation Create LF-Tag許可授予角色。透過可授予的Create LF-Tag許可,LF-Tag 建立者可以將標籤建立和維護任務委派給其他非管理主體。

若要讓資料湖管理員將 LF-Tags 指派給 Data Catalog 資源,他們必須授予自己非由他們建立的 LF-Tags 的關聯許可。

注意

跨帳戶許可授予只能包含 DescribeAssociate許可。您無法將 Create LF-TagAlterDropGrant with LFTag expressions許可授予不同帳戶中的主體。

建立 LF 標籤所需的 IAM 許可

您必須設定許可,以允許 Lake Formation 主體建立 LF 標籤。將下列陳述式新增至需要成為 LF-Tag 建立者的主體的許可政策。

注意

雖然資料湖管理員具有隱含的 Lake Formation 許可來建立、更新和刪除 LF-Tags、將 LF-Tags 指派給資源,以及將 LF-Tags 授予主體,但資料湖管理員也需要下列 IAM 許可。

如需詳細資訊,請參閱Lake Formation 角色和 IAM 許可參考

{ "Sid": "Transformational", "Effect": "Allow", "Action": [ "lakeformation:AddLFTagsToResource", "lakeformation:RemoveLFTagsFromResource", "lakeformation:GetResourceLFTags", "lakeformation:ListLFTags", "lakeformation:CreateLFTag", "lakeformation:GetLFTag", "lakeformation:UpdateLFTag", "lakeformation:DeleteLFTag", "lakeformation:SearchTablesByLFTags", "lakeformation:SearchDatabasesByLFTags" ] }

將 LF-Tags 指派給資源並將 LF-Tags 授予主體的主體必須具有相同的許可,但 CreateLFTagUpdateLFTagDeleteLFTag許可除外。

新增 LF 標籤建立者

LF-Tag 建立者可以建立 LF-Tag、更新標籤金鑰和值、刪除標籤、將標籤與 Data Catalog 資源建立關聯,以及使用 LF-TBAC 方法將 Data Catalog 資源的許可授予主體。LF-Tag 建立者也可以將這些許可授予委託人。

您可以使用 AWS Lake Formation 主控台、 API 或 AWS Command Line Interface () 來建立 LF-Tag 建立者角色AWS CLI。

console
新增 LF 標籤建立者
  1. 開啟 Lake Formation 主控台,網址為 https://console.aws.amazon.com/lakeformation/

    以 Datalake 管理員身分登入。

  2. 在導覽窗格中的許可下,選擇 LF 標籤和許可

    LF 標籤和許可頁面上,選擇 LF 標籤建立者區段,然後選擇新增 LF 標籤建立者

    LF-Tag creator details form with IAM 使用者 selection and permission options.
  3. 新增 LF 標籤建立者頁面上,選擇具有建立 LF 標籤所需許可的 IAM 角色或使用者。

  4. 啟用Create LF-Tag許可核取方塊。

  5. (選用) 若要讓選取的委託人授予委託人Create LF-Tag許可,請選擇可授予Create LF-Tag許可。

  6. 選擇新增

AWS CLI
aws lakeformation grant-permissions --cli-input-json file://grantCreate { "Principal": { "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager" }, "Resource": { "Catalog": {} }, "Permissions": [ "CreateLFTag" ], "PermissionsWithGrantOption": [ "CreateLFTag" ] }
新增 LF 標籤建立者
  1. 開啟 Lake Formation 主控台,網址為 https://console.aws.amazon.com/lakeformation/

    以 Datalake 管理員身分登入。

  2. 在導覽窗格中的許可下,選擇 LF 標籤和許可

    LF 標籤和許可頁面上,選擇 LF 標籤建立者區段,然後選擇新增 LF 標籤建立者

    LF-Tag creator details form with IAM 使用者 selection and permission options.
  3. 新增 LF 標籤建立者頁面上,選擇具有建立 LF 標籤所需許可的 IAM 角色或使用者。

  4. 啟用Create LF-Tag許可核取方塊。

  5. (選用) 若要讓選取的委託人授予委託人Create LF-Tag許可,請選擇可授予Create LF-Tag許可。

  6. 選擇新增

以下是 LF-Tag 建立者角色可用的許可:

權限 描述
Drop 在 LF-Tag 上具有此許可的主體可以從資料湖中刪除 LF-Tag。主體會取得 LF-Tag 資源所有標籤值的隱含Describe許可。
Alter 在 LF-Tag 上具有此許可的主體可以新增或移除 LF-Tag 的標籤值。主體會取得 LF-Tag 所有標籤值的隱含Alter許可。
Describe 在 LF-Tag 上具有此許可的委託人在將 LF-Tags 指派給資源或授予 LF-Tags 許可時,可以檢視 LF-Tag 及其值。您可以Describe針對所有金鑰值或特定值授予 。
Associate 在 LF-Tag 上具有此許可的主體可以將 LF-Tag 指派給 Data Catalog 資源。隱Associate含授予 Describe
Grant with LF-Tag expression 在 LF-Tag 上具有此許可的主體可以使用 LF-Tag 金鑰和值授予 Data Catalog 資源的許可。Grant with LF-Tag expression 隱含授予 Describe

這些許可是可授予的。已透過授予選項授予這些許可的委託人,可以將其授予其他委託人。

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。