本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
添加 LF 标签创建者
默认情况下,数据湖管理员可以创建、更新和删除 LF 标记,将标签分配给数据目录资源,以及向主体授予标签权限。如果您希望将标签创建和管理操作委托给非管理员主体,则数据湖管理员可以创建 LF 标签创建者角色并向这些角色授予 Lake Formation Create LF-Tag
权限。通过可授予的 Create LF-Tag
权限,LF 标签创建者可以将标签创建和维护任务委托给其他非管理员主体。
数据湖管理员要将 LF 标签分配给数据目录资源,就必须授予自己对非自己创建的 LF 标签的关联权限。
注意
跨账户权限授予只能包括 Describe
和 Associate
权限。您无法向其他账户中的主体授予 Create LF-Tag
、Drop
、Alter
和 Grant with LFTag expressions
权限。
创建 LF 标签所需的 IAM 权限
您必须配置权限以允许 Lake Formation 主体创建 LF 标签。将以下语句添加到需要成为 LF 标签创建者的主体的权限策略中。
注意
尽管数据湖管理员具有隐式 Lake Formation 权限,可以创建、更新和删除 LF 标签、将 LF 标签分配给资源,以及向主体授予 LF 标签,但数据湖管理员还需要以下 IAM 权限。
有关更多信息,请参阅 Lake Formation 角色和 IAM 权限参考。
{ "Sid": "Transformational", "Effect": "Allow", "Action": [ "lakeformation:AddLFTagsToResource", "lakeformation:RemoveLFTagsFromResource", "lakeformation:GetResourceLFTags", "lakeformation:ListLFTags", "lakeformation:CreateLFTag", "lakeformation:GetLFTag", "lakeformation:UpdateLFTag", "lakeformation:DeleteLFTag", "lakeformation:SearchTablesByLFTags", "lakeformation:SearchDatabasesByLFTags" ] }
将 LF 标签分配给资源并向主体授予 LF 标签的主体必须具有相同的权限,但 CreateLFTag
、UpdateLFTag
和 DeleteLFTag
权限除外。
添加 LF 标签创建者
LF 标签创建者可以创建 LF 标签、更新标签键和值、删除标签、将标签与数据目录资源关联,以及使用 LF-TBAC 方法向主体授予对数据目录资源的权限。LF 标签创建者还可以向主体授予这些权限。
您可以使用 Amazon Lake Formation 控制台、API 或 Amazon Command Line Interface (Amazon CLI) 来创建 LF 标签创建者角色。
以下是 LF 标签创建者角色可用的权限:
权限 | 描述 |
---|---|
Drop |
对 LF 标签具有此权限的主体可以从数据湖中删除 LF 标签。主体会获取对 LF 标签资源的所有标签值的隐式 Describe 权限。 |
Alter |
对 LF 标签具有此权限的主体可以在 LF 标签中添加或移除标签值。主体会获取对 LF 标签的所有标签值的隐式 Alter 权限。 |
Describe |
对 LF 标签具有此权限的主体在将 LF 标签分配给资源或授予对 LF 标签的权限时可以查看 LF 标签及其值。您可以授予对所有键值或特定值的 Describe 权限。 |
Associate |
对 LF 标签具有此权限的主体可以将 LF 标签分配给数据目录资源。授予 Associate 会隐式授予 Describe 权限。 |
Grant with LF-Tag expression |
对 LF 标签具有此权限的主体可以使用 LF 标签键和值授予对数据目录资源的权限。授予 Grant
with LF-Tag expression 会隐式授予 Describe 权限。 |
这些权限是可以授予的。已通过授予选项被授予这些权限的主体可以将这些权限授予给其他主体。