添加 LF 标签创建者 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

添加 LF 标签创建者

默认情况下,数据湖管理员可以创建、更新和删除 LF 标记,将标签分配给数据目录资源,以及向主体授予标签权限。如果您希望将标签创建和管理操作委托给非管理员主体,则数据湖管理员可以创建 LF 标签创建者角色并向这些角色授予 Lake Formation Create LF-Tag 权限。通过可授予的 Create LF-Tag 权限,LF 标签创建者可以将标签创建和维护任务委托给其他非管理员主体。

数据湖管理员要将 LF 标签分配给数据目录资源,就必须授予自己对非自己创建的 LF 标签的关联权限。

注意

跨账户权限授予只能包括 DescribeAssociate 权限。您无法向其他账户中的主体授予 Create LF-TagDropAlterGrant with LFTag expressions 权限。

创建 LF 标签所需的 IAM 权限

您必须配置权限以允许 Lake Formation 主体创建 LF 标签。将以下语句添加到需要成为 LF 标签创建者的主体的权限策略中。

注意

尽管数据湖管理员具有隐式 Lake Formation 权限,可以创建、更新和删除 LF 标签、将 LF 标签分配给资源,以及向主体授予 LF 标签,但数据湖管理员还需要以下 IAM 权限。

有关更多信息,请参阅 Lake Formation 角色和 IAM 权限参考

{ "Sid": "Transformational", "Effect": "Allow", "Action": [ "lakeformation:AddLFTagsToResource", "lakeformation:RemoveLFTagsFromResource", "lakeformation:GetResourceLFTags", "lakeformation:ListLFTags", "lakeformation:CreateLFTag", "lakeformation:GetLFTag", "lakeformation:UpdateLFTag", "lakeformation:DeleteLFTag", "lakeformation:SearchTablesByLFTags", "lakeformation:SearchDatabasesByLFTags" ] }

将 LF 标签分配给资源并向主体授予 LF 标签的主体必须具有相同的权限,但 CreateLFTagUpdateLFTagDeleteLFTag 权限除外。

添加 LF 标签创建者

LF 标签创建者可以创建 LF 标签、更新标签键和值、删除标签、将标签与数据目录资源关联,以及使用 LF-TBAC 方法向主体授予对数据目录资源的权限。LF 标签创建者还可以向主体授予这些权限。

您可以使用 Amazon Lake Formation 控制台、API 或 Amazon Command Line Interface (Amazon CLI) 来创建 LF 标签创建者角色。

console
添加 LF 标签创建者
  1. 通过 https://console.aws.amazon.com/lakeformation/ 打开 Lake Formation 控制台。

    以数据湖管理员身份登录。

  2. 在导航窗格的权限下,选择 LF 标签和权限

    LF 标签和权限页面上,选择 LF 标签创建者部分,然后选择添加 LF 标签创建者

    LF-Tag creator details form with IAM 用户 selection and permission options.
  3. 添加 LF 标签创建者页面上,选择具有创建 LF 标签所需权限的 IAM 角色或用户。

  4. 选中 Create LF-Tag 权限复选框。

  5. (可选)要使所选主体能够向主体授予 Create LF-Tag 权限,请选择可授予的 Create LF-Tag 权限。

  6. 选择添加

Amazon CLI
aws lakeformation grant-permissions --cli-input-json file://grantCreate { "Principal": { "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager" }, "Resource": { "Catalog": {} }, "Permissions": [ "CreateLFTag" ], "PermissionsWithGrantOption": [ "CreateLFTag" ] }

以下是 LF 标签创建者角色可用的权限:

权限 描述
Drop 对 LF 标签具有此权限的主体可以从数据湖中删除 LF 标签。主体会获取对 LF 标签资源的所有标签值的隐式 Describe 权限。
Alter 对 LF 标签具有此权限的主体可以在 LF 标签中添加或移除标签值。主体会获取对 LF 标签的所有标签值的隐式 Alter 权限。
Describe 对 LF 标签具有此权限的主体在将 LF 标签分配给资源或授予对 LF 标签的权限时可以查看 LF 标签及其值。您可以授予对所有键值或特定值的 Describe 权限。
Associate 对 LF 标签具有此权限的主体可以将 LF 标签分配给数据目录资源。授予 Associate 会隐式授予 Describe 权限。
Grant with LF-Tag expression 对 LF 标签具有此权限的主体可以使用 LF 标签键和值授予对数据目录资源的权限。授予 Grant with LF-Tag expression 会隐式授予 Describe 权限。

这些权限是可以授予的。已通过授予选项被授予这些权限的主体可以将这些权限授予给其他主体。