IAM 授予或撤銷 Lake Formation 許可所需的許可 - AWS Lake Formation

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM 授予或撤銷 Lake Formation 許可所需的許可

所有主體,包括資料湖管理員,都需要下列 AWS Identity and Access Management (IAM) 許可,才能使用 Lake Formation 或 授予或撤銷 AWS Lake Formation 資料目錄許可API或資料位置許可 AWS CLI:

  • lakeformation:GrantPermissions

  • lakeformation:BatchGrantPermissions

  • lakeformation:RevokePermissions

  • lakeformation:BatchRevokePermissions

  • glue:GetTableglue:GetDatabase 用於您使用具名資源方法授予許可的資料表或資料庫。

注意

Data lake 管理員具有隱含 Lake Formation 許可,可授予和撤銷 Lake Formation 許可。但他們仍然需要 Lake Formation 授予和撤銷API操作的IAM許可。

IAM 具有AWSLakeFormationDataAdmin AWS 受管政策的角色無法新增資料湖管理員,因為此政策包含 Lake Formation API操作 的明確拒絕PutDataLakeSetting

對於非資料湖管理員,以及想要使用 Lake Formation 主控台授予或撤銷許可的主體,建議使用下列IAM政策。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:ListPermissions",
                "lakeformation:GrantPermissions",
                "lakeformation:BatchGrantPermissions",
                "lakeformation:RevokePermissions",
                "lakeformation:BatchRevokePermissions",
                "glue:GetDatabases",
                "glue:SearchTables",
                "glue:GetTables",
                "glue:GetDatabase",
                "glue:GetTable",
                "iam:ListUsers",
                "iam:ListRoles",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "sso:DescribeInstance"
            ],
            "Resource": "*"
        }
    ]
}

此政策中的所有 glue:iam:許可都可在 AWS 受管政策 中使用AWSGlueConsoleFullAccess

若要使用 Lake Formation 標籤型存取控制 (LF-TBAC) 授予許可,委託人需要額外IAM許可。如需詳細資訊,請參閱 Lake Formation 標籤型存取控制最佳實務和考量事項Lake Formation 角色和IAM許可參考

跨帳戶 許可

想要使用具名資源方法授予跨帳戶 Lake Formation 許可的使用者,也必須在 AWSLakeFormationCrossAccountManager AWS 受管政策中擁有許可。

Data lake 管理員需要相同的許可才能授予跨帳戶許可,加上 AWS Resource Access Manager (AWS RAM) 許可,才能將許可授予組織。如需詳細資訊,請參閱Data lake 管理員許可

管理使用者

具有管理許可的主體,例如具有 AdministratorAccess AWS 受管政策的主體,具有授予 Lake Formation 許可和建立資料湖管理員的許可。若要拒絕使用者或角色存取 Lake Formation 管理員操作,請將管理員API操作的Deny陳述式附加或新增至其政策。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "lakeformation:GetDataLakeSettings",
                "lakeformation:PutDataLakeSettings"
            ],
            "Effect": "Deny",
            "Resource": [
                "*"
            ]
        }
    ]
}
重要

若要防止使用者使用擷取、轉換和載入 (ETL) 指令碼將自己新增為管理員,請確保所有非管理員使用者和角色都無法存取這些API操作。AWSLakeFormationDataAdmin AWS 受管政策包含 Lake Formation API操作的明確拒絕,PutDataLakeSetting可防止使用者新增資料湖管理員。