授予或撤消 Lake Formation 权限所需的 IAM 权限 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予或撤消 Lake Formation 权限所需的 IAM 权限

包括数据湖管理员在内的所有委托人都需要以下内容:Amazon Identity and Access Management(IAM) 授予或撤销的权限Amazon Lake Formation使用 Lake Formation API 或Amazon CLI:

  • lakeformation:GrantPermissions

  • lakeformation:BatchGrantPermissions

  • lakeformation:RevokePermissions

  • lakeformation:BatchRevokePermissions

  • glue:GetTable要么glue:GetDatabase对于您授予权限的表或数据库 on 使用命名的资源方法

注意

数据湖管理员具有隐式的 Lake Formation 权限来授予和撤销 Lake Formation 权限。但是,他们仍然需要对 Lake Formation 授予和撤销 API 操作的 IAM 权限。

对于不是数据湖管理员且想要使用 Lake Formation 控制台授予或撤销权限的委托人,建议使用以下 IAM 策略。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:ListPermissions", "lakeformation:GrantPermissions", "lakeformation:BatchGrantPermissions", "lakeformation:RevokePermissions", "lakeformation:BatchRevokePermissions", "glue:GetDatabases", "glue:SearchTables", "glue:GetTables", "glue:GetDatabase", "glue:GetTable", "iam:ListUsers", "iam:ListRoles" ], "Resource": "*" } ] }

所有glue:iam:此策略中的权限可在Amazon管理的策略AWSGlueConsoleFullAccess.

要通过使用基于 Lake Formation 标签的访问控制 (LF-TBAC) 授予权限,委托人需要额外的 IAM 权限。有关更多信息,请参阅基于标签的 Lake FormationLake Formation 角色角色和 IAM 权限参考

跨账户 权限

想要授予跨账户 Lake Formation 权限的用户通过使用命名的资源方法在中还必须具有权限AWSLakeFormationCrossAccountManager Amazon托管策略。

数据湖管理员需要这些相同的权限才能授予跨账户权限,此外Amazon Resource Access Manager(Amazon RAM) 允许向组织授予权限的权限。有关更多信息,请参阅 数据湖管理员权限

管理用户

拥有 IAM 管理权限的委托人 — 例如,使用AdministratorAccess Amazon托管策略 — 具有授予 Lake Formation 权限和创建数据湖管理员的权限。要拒绝用户或角色访问 Lake Formation 管理员操作,请在其策略中附加或添加Deny管理员 API 操作的声明。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lakeformation:GetDataLakeSettings", "lakeformation:PutDataLakeSettings" ], "Effect": "Deny", "Resource": [ "*" ] } ] }
重要

要防止用户使用数据提取、转换和加载 (ETL) 脚本将自己添加为管理员,请确保拒绝所有非管理员用户和角色访问这些 API 操作。