隐含的 Lake Formation 权限 - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

隐含的 Lake Formation 权限

AWS Lake Formation 向数据湖管理员、数据库创建者和表创建者授予以下隐式权限。

数据湖管理员
  • 完全读取中的所有资源 Data Catalog. 无法从管理员撤销此访问。

  • 在数据湖中的任何地方都具有数据位置权限。

  • 可以授予或撤销对 Data Catalog 任何委托人(包括本人)。无法从管理员撤销此访问。

  • 可以在中创建数据库 Data Catalog.

  • 可以向其他用户授予创建数据库的权限。

注意

数据湖管理员可以注册 Amazon S3 只有当他们有 IAM 执行此操作的权限。本指南中建议的数据湖管理员策略授予这些权限。此外,数据湖管理员没有隐式权限来删除数据库或改变/挂断其他人创建的表。但是,他们可以授予自己执行此操作的权限。

有关数据湖管理员的更多信息,请参阅 创建DataLake管理员.

数据库创建者
  • 在其创建的数据库上拥有所有数据库权限, 对其在数据库中创建的表具有权限, 也可以授予其他承运人 AWS 帐户权限,以在数据库中创建表。数据库创建者也拥有 AWSLakeFormationCrossAccountManager AWS 托管策略可以将数据库权限授予其他 AWS 帐户或组织。

    数据湖管理员s 可使用 Lake Formation 控制台或API以指定数据库创建者。

    注意

    数据库创建者对数据库中其他人创建的表没有权限。

有关更多信息,请参阅创建数据库

桌上创作者
  • 对其创建的表具有所有权限。

  • 可以授予他们创建的所有表的权限给相同 AWS 帐户。

  • 可以授予他们创建的所有表的权限给其他 AWS 客户或组织,如果他们拥有 AWSLakeFormationCrossAccountManager AWS 管理策略。

  • 可以查看包含他们创建的表的数据库。