本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
根據預設,資料湖管理員可以建立、更新和刪除 LF 標籤、將標籤指派給 Data Catalog 資源,以及將標籤許可授予主體。如果您想要將標籤建立和管理操作委派給非管理員主體,資料湖管理員可以建立 LF-Tag 建立者角色,並將 Lake Formation Create LF-Tag
許可授予角色。透過可授予的Create LF-Tag
許可,LF-Tag 建立者可以將標籤建立和維護任務委派給其他非管理主體。
若要讓資料湖管理員將 LF-Tags 指派給 Data Catalog 資源,他們必須授予自己非由他們建立的 LF-Tags 的關聯許可。
注意
跨帳戶許可授予只能包含 Describe
和 Associate
許可。您無法將 Create LF-Tag
、Alter
、 Drop
和 Grant with LFTag expressions
許可授予不同帳戶中的主體。
建立 LF 標籤所需的 IAM 許可
您必須設定許可,以允許 Lake Formation 主體建立 LF 標籤。將下列陳述式新增至需要成為 LF-Tag 建立者的主體的許可政策。
注意
雖然資料湖管理員具有隱含的 Lake Formation 許可來建立、更新和刪除 LF-Tags、將 LF-Tags 指派給資源,以及將 LF-Tags 授予主體,但資料湖管理員也需要下列 IAM 許可。
如需詳細資訊,請參閱Lake Formation 角色和 IAM 許可參考。
{
"Sid": "Transformational",
"Effect": "Allow",
"Action": [
"lakeformation:AddLFTagsToResource",
"lakeformation:RemoveLFTagsFromResource",
"lakeformation:GetResourceLFTags",
"lakeformation:ListLFTags",
"lakeformation:CreateLFTag",
"lakeformation:GetLFTag",
"lakeformation:UpdateLFTag",
"lakeformation:DeleteLFTag",
"lakeformation:SearchTablesByLFTags",
"lakeformation:SearchDatabasesByLFTags"
]
}
將 LF-Tags 指派給資源並將 LF-Tags 授予主體的主體必須具有相同的許可,但 CreateLFTag
、 UpdateLFTag
和 DeleteLFTag
許可除外。
新增 LF 標籤建立者
LF-Tag 建立者可以建立 LF-Tag、更新標籤金鑰和值、刪除標籤、將標籤與 Data Catalog 資源建立關聯,以及使用 LF-TBAC 方法將 Data Catalog 資源的許可授予主體。LF-Tag 建立者也可以將這些許可授予委託人。
您可以使用 AWS Lake Formation 主控台、 API 或 AWS Command Line Interface () 來建立 LF-Tag 建立者角色AWS CLI。
新增 LF 標籤建立者
-
開啟 Lake Formation 主控台,網址為 https://console.aws.amazon.com/lakeformation/
。 以 Datalake 管理員身分登入。
-
在導覽窗格中的許可下,選擇 LF 標籤和許可。
在 LF 標籤和許可頁面上,選擇 LF 標籤建立者區段,然後選擇新增 LF 標籤建立者。
-
在新增 LF 標籤建立者頁面上,選擇具有建立 LF 標籤所需許可的 IAM 角色或使用者。
-
啟用
Create LF-Tag
許可核取方塊。 -
(選用) 若要讓選取的委託人授予委託人
Create LF-Tag
許可,請選擇可授予Create LF-Tag
許可。 -
選擇新增。
以下是 LF-Tag 建立者角色可用的許可:
權限 | 描述 |
---|---|
Drop |
在 LF-Tag 上具有此許可的主體可以從資料湖中刪除 LF-Tag。主體會取得 LF-Tag 資源所有標籤值的隱含Describe 許可。 |
Alter |
在 LF-Tag 上具有此許可的主體可以新增或移除 LF-Tag 的標籤值。主體會取得 LF-Tag 所有標籤值的隱含Alter 許可。 |
Describe |
在 LF-Tag 上具有此許可的委託人在將 LF-Tags 指派給資源或授予 LF-Tags 許可時,可以檢視 LF-Tag 及其值。您可以Describe 針對所有金鑰值或特定值授予 。 |
Associate |
在 LF-Tag 上具有此許可的主體可以將 LF-Tag 指派給 Data Catalog 資源。隱Associate 含授予 Describe 。 |
Grant with LF-Tag expression |
在 LF-Tag 上具有此許可的主體可以使用 LF-Tag 金鑰和值授予 Data Catalog 資源的許可。Grant with LF-Tag expression 隱含授予 Describe 。 |
這些許可是可授予的。已透過授予選項授予這些許可的委託人,可以將其授予其他委託人。