IAM 授予或撤销权限 Lake Formation 权限 - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM 授予或撤销权限 Lake Formation 权限

所有委托人(包括数据湖管理员)需要: AWS Identity and Access Management (人IAM)授予或撤销许可 AWS Lake Formation Data Catalog 权限或数据位置权限 Lake Formation API或 AWS CLI:

  • lakeformation:GrantPermissions

  • lakeformation:BatchGrantPermissions

  • lakeformation:RevokePermissions

  • lakeformation:BatchRevokePermissions

  • glue:GetTableglue:GetDatabase 您授予权限的表或数据库

注意

数据湖管理员隐含 Lake Formation 授予和撤销权限 Lake Formation 权限。但他们仍然需要 IAM 上的权限 Lake Formation 授予和撤销API操作。

以下 IAM 建议非数据湖管理员且希望使用授予或撤销权限的主体使用策略 Lake Formation 控制台。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:ListPermissions", "lakeformation:GrantPermissions", "lakeformation:BatchGrantPermissions", "lakeformation:RevokePermissions", "lakeformation:BatchRevokePermissions", "glue:GetDatabases", "glue:SearchTables", "glue:GetTables", "glue:GetDatabase", "glue:GetTable", "iam:ListUsers", "iam:ListRoles" ], "Resource": "*" } ] }

所有 glue:iam: 此策略中的权限在AWS管理策略中可用 AWSGlueConsoleFullAccess.

跨账户 权限

想要授予交叉帐户的用户 Lake Formation 权限 还必须具有 AWSLakeFormationCrossAccountManager AWS 管理策略。

数据湖管理员需要授予跨帐户的相同权限 权限,加上 AWS Resource Access Manager (人AWS RAM)权限以启用授予组织权限。有关更多信息,请参阅DataLake管理员权限

管理用户

具有 IAM 管理权限—例如 AdministratorAccess AWS管理策略—有权限授予 Lake Formation 权限并创建数据湖管理员。要拒绝用户或角色访问 Lake Formation 管理员操作、附加或添加到其策略中 Deny 管理员API操作语句。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lakeformation:GetDataLakeSettings", "lakeformation:PutDataLakeSettings" ], "Effect": "Deny", "Resource": [ "*" ] } ] }
重要

要防止用户通过提取、转换和加载(ETL)脚本将自己添加为管理员,请确保所有非管理员用户和角色都被拒绝访问这些API操作。

另请参阅