本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
授予或撤消 Lake Formation 权限所需的 IAM 权限
包括数据湖管理员在内的所有委托人都需要以下内容:Amazon Identity and Access Management(IAM) 授予或撤销的权限Amazon Lake Formation使用 Lake Formation API 或Amazon CLI:
-
lakeformation:GrantPermissions -
lakeformation:BatchGrantPermissions -
lakeformation:RevokePermissions -
lakeformation:BatchRevokePermissions -
glue:GetTable要么glue:GetDatabase对于您授予权限的表或数据库 on 使用命名的资源方法
数据湖管理员具有隐式的 Lake Formation 权限来授予和撤销 Lake Formation 权限。但是,他们仍然需要对 Lake Formation 授予和撤销 API 操作的 IAM 权限。
对于不是数据湖管理员且想要使用 Lake Formation 控制台授予或撤销权限的委托人,建议使用以下 IAM 策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:ListPermissions", "lakeformation:GrantPermissions", "lakeformation:BatchGrantPermissions", "lakeformation:RevokePermissions", "lakeformation:BatchRevokePermissions", "glue:GetDatabases", "glue:SearchTables", "glue:GetTables", "glue:GetDatabase", "glue:GetTable", "iam:ListUsers", "iam:ListRoles" ], "Resource": "*" } ] }
所有glue:和iam:此策略中的权限可在Amazon管理的策略AWSGlueConsoleFullAccess.
要通过使用基于 Lake Formation 标签的访问控制 (LF-TBAC) 授予权限,委托人需要额外的 IAM 权限。有关更多信息,请参阅基于标签的 Lake Formation和Lake Formation 角色角色和 IAM 权限参考。
跨账户 权限
想要授予跨账户 Lake Formation 权限的用户通过使用命名的资源方法在中还必须具有权限AWSLakeFormationCrossAccountManager Amazon托管策略。
数据湖管理员需要这些相同的权限才能授予跨账户权限,此外Amazon Resource Access Manager(Amazon RAM) 允许向组织授予权限的权限。有关更多信息,请参阅 数据湖管理员权限。
管理用户
拥有 IAM 管理权限的委托人 — 例如,使用AdministratorAccess Amazon托管策略 — 具有授予 Lake Formation 权限和创建数据湖管理员的权限。要拒绝用户或角色访问 Lake Formation 管理员操作,请在其策略中附加或添加Deny管理员 API 操作的声明。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lakeformation:GetDataLakeSettings", "lakeformation:PutDataLakeSettings" ], "Effect": "Deny", "Resource": [ "*" ] } ] }
要防止用户使用数据提取、转换和加载 (ETL) 脚本将自己添加为管理员,请确保拒绝所有非管理员用户和角色访问这些 API 操作。