本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM 授予或撤销权限 Lake Formation 权限
所有委托人(包括数据湖管理员)需要: AWS Identity and Access Management (人IAM)授予或撤销许可 AWS Lake Formation Data Catalog 权限或数据位置权限 Lake Formation API或 AWS CLI:
-
lakeformation:GrantPermissions -
lakeformation:BatchGrantPermissions -
lakeformation:RevokePermissions -
lakeformation:BatchRevokePermissions -
glue:GetTable或glue:GetDatabase您授予权限的表或数据库
数据湖管理员隐含 Lake Formation 授予和撤销权限 Lake Formation 权限。但他们仍然需要 IAM 上的权限 Lake Formation 授予和撤销API操作。
以下 IAM 建议非数据湖管理员且希望使用授予或撤销权限的主体使用策略 Lake Formation 控制台。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:ListPermissions", "lakeformation:GrantPermissions", "lakeformation:BatchGrantPermissions", "lakeformation:RevokePermissions", "lakeformation:BatchRevokePermissions", "glue:GetDatabases", "glue:SearchTables", "glue:GetTables", "glue:GetDatabase", "glue:GetTable", "iam:ListUsers", "iam:ListRoles" ], "Resource": "*" } ] }
所有 glue: 和 iam: 此策略中的权限在AWS管理策略中可用 AWSGlueConsoleFullAccess.
跨账户 权限
想要授予交叉帐户的用户 Lake Formation 权限 还必须具有 AWSLakeFormationCrossAccountManager AWS 管理策略。
数据湖管理员需要授予跨帐户的相同权限 权限,加上 AWS Resource Access Manager (人AWS RAM)权限以启用授予组织权限。有关更多信息,请参阅DataLake管理员权限。
管理用户
具有 IAM 管理权限—例如 AdministratorAccess AWS管理策略—有权限授予 Lake Formation 权限并创建数据湖管理员。要拒绝用户或角色访问 Lake Formation 管理员操作、附加或添加到其策略中
Deny 管理员API操作语句。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lakeformation:GetDataLakeSettings", "lakeformation:PutDataLakeSettings" ], "Effect": "Deny", "Resource": [ "*" ] } ] }
要防止用户通过提取、转换和加载(ETL)脚本将自己添加为管理员,请确保所有非管理员用户和角色都被拒绝访问这些API操作。