在 Security Lake 中建立具有查詢存取權之訂閱者的先決條件 - Amazon Security Lake
驗證許可建立IAM角色以查詢 Security Lake 資料 (API 和 AWS CLI僅步驟)授予 Lake Formation 管理員許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Security Lake 中建立具有查詢存取權之訂閱者的先決條件

您必須先完成下列先決條件,才能在 Security Lake 中建立具有資料存取權的訂閱者。

驗證許可

建立具有查詢存取權的訂閱者之前,請確認您具有執行下列動作清單的許可。

若要驗證您的許可,請使用 IAM 來檢閱連接至您IAM身分IAM的政策。然後,將這些政策中的資訊與下列您必須執行的動作清單進行比較,以建立具有查詢存取權的訂閱者。

  • iam:CreateRole

  • iam:DeleteRolePolicy

  • iam:GetRole

  • iam:PutRolePolicy

  • lakeformation:GrantPermissions

  • lakeformation:ListPermissions

  • lakeformation:RegisterResource

  • lakeformation:RevokePermissions

  • ram:GetResourceShareAssociations

  • ram:GetResourceShares

  • ram:UpdateResourceShare

重要

驗證許可之後:

  • 如果您計劃使用 Security Lake 主控台新增具有查詢存取權的訂閱者,您可以略過下一步並繼續 授予 Lake Formation 管理員許可。Security Lake 會建立所有必要IAM的角色,或代表您使用現有的角色。

  • 如果您計劃使用 Security Lake CLI API或 新增具有查詢存取權的訂閱者,請繼續下一個步驟以建立IAM角色來查詢 Security Lake 資料。

建立IAM角色以查詢 Security Lake 資料 (API 和 AWS CLI僅步驟)

使用 Security Lake API或 AWS CLI 將查詢存取權授予訂閱者時,您需要建立名為 的角色AmazonSecurityLakeMetaStoreManager。Security Lake 使用此角色來註冊 AWS Glue 分割區和更新 AWS Glue 資料表。您可能已在建立必要角色 時建立此IAM角色

授予 Lake Formation 管理員許可

您還需要將 Lake Formation 管理員許可新增至您用來存取 Security Lake 主控台和新增訂閱者IAM的角色。

您可以依照下列步驟,將 Lake Formation 管理員許可授予您的角色:

  1. 在 開啟 Lake Formation 主控台https://console.aws.amazon.com/lakeformation/

  2. 以管理使用者身分登入。

  3. 如果出現歡迎加入 Lake Formation 視窗,請選擇您在步驟 1 中建立或選取的使用者,然後選擇開始使用。

  4. 如果您沒有看到歡迎加入 Lake Formation 視窗,請執行下列步驟來設定 Lake Formation 管理員。

    1. 在導覽窗格中的許可 下,選擇管理角色和任務 。在 Data lake 管理員區段中,選擇選擇管理員。

    2. 管理資料湖管理員對話方塊中,針對IAM使用者和角色,選擇存取 Security Lake 主控台時使用的管理員角色,然後選擇儲存

如需變更資料湖管理員許可的詳細資訊,請參閱 AWS Lake Formation 開發人員指南 中的建立資料湖管理員

IAM 角色必須具有您要授予訂閱者存取權之資料庫和資料表SELECT的權限。如需如何執行此操作的指示,請參閱 AWS Lake Formation 開發人員指南 中的使用具名資源方法授予資料目錄許可