Hinzufügen von LF-Tag-Erstellern - AWS Lake Formation
IAMBerechtigungen, die zum Erstellen von LF-Tags erforderlich sindFügen Sie LF-Tag-Ersteller hinzu

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Hinzufügen von LF-Tag-Erstellern

Standardmäßig können Data Lake-Administratoren LF-Tags erstellen, aktualisieren und löschen, Datenkatalogressourcen Tags zuweisen und Prinzipalen Tag-Berechtigungen gewähren. Wenn Sie die Tag-Erstellung und -Verwaltung an Prinzipale ohne Administratorrechte delegieren möchten, kann der Data Lake-Administrator LF-Tag-Erstellerrollen erstellen und Lake Formation Create LF-Tag Formation-Berechtigungen für die Rollen erteilen. Mit erteilbarer Create LF-Tag Genehmigung können LF-Tag-Ersteller Aufgaben zur Erstellung und Wartung von Tags an andere Personen delegieren, die keine Administratorrechte haben.

Damit Data Lake-Administratoren LF-Tags Datenkatalog-Ressourcen zuweisen können, müssen sie sich selbst assoziierte Rechte für LF-Tags gewähren, die nicht von ihnen erstellt wurden.

Anmerkung

Kontoübergreifende Genehmigungen können nur Berechtigungen beinhalten. Describe Associate Sie können Prinzipalen in einem anderen Konto keine DropAlter,, und Grant with LFTag expressions Berechtigungen gewährenCreate LF-Tag.

Weitere Informationen finden Sie auch unter

IAMBerechtigungen, die zum Erstellen von LF-Tags erforderlich sind

Sie müssen Berechtigungen konfigurieren, damit ein Lake Formation-Prinzipal LF-Tags erstellen kann. Fügen Sie der Berechtigungsrichtlinie für den Prinzipal, der ein LF-Tag-Ersteller sein muss, die folgende Anweisung hinzu.

Anmerkung

Data Lake-Administratoren verfügen zwar über implizite Lake Formation Formation-Berechtigungen, um LF-Tags zu erstellen, zu aktualisieren und zu löschen, Ressourcen LF-Tags zuzuweisen und Prinzipalen LF-Tags zu gewähren, aber Data Lake-Administratoren benötigen auch die folgenden Berechtigungen. IAM

Weitere Informationen finden Sie unter Referenz zu Personas und IAM Genehmigungen von Lake Formation.

{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags"
     ]
 }

Principals, die Ressourcen LF-Tags zuweisen und Prinzipalen LF-Tags gewähren, müssen über dieselben Berechtigungen verfügen, mit Ausnahme der Berechtigungen, und. CreateLFTag UpdateLFTag DeleteLFTag

Fügen Sie LF-Tag-Ersteller hinzu

Ein LF-Tag-Ersteller kann ein LF-Tag erstellen, Tag-Schlüssel und -Werte aktualisieren, Tags löschen, Tags mit Datenkatalogressourcen verknüpfen und Prinzipalen mithilfe der LF-Methode Berechtigungen für Datenkatalogressourcen gewähren. TBAC Der LF-Tag-Ersteller kann diese Berechtigungen auch Prinzipalen gewähren.

Sie können Rollen für LF-Tag-Ersteller erstellen, indem Sie die AWS Lake Formation Konsole, die oder die API () verwenden. AWS Command Line Interface AWS CLI

console
Um einen LF-Tag-Ersteller hinzuzufügen

  1. Öffnen Sie die Lake Formation Formation-Konsole unter https://console.aws.amazon.com/lakeformation/.

    Melden Sie sich als Datalake-Administrator an.

  2. Wählen Sie im Navigationsbereich unter Berechtigungen die Option LF-Tags und Berechtigungen aus.

    Wählen Sie auf der Seite LF-Tags und Berechtigungen den Abschnitt LF-Tag-Ersteller und dann LF-Tag-Ersteller hinzufügen aus.

    LF-Tag creator details form with IAM-Benutzer selection and permission options.

  3. Wählen Sie auf der Seite „LF-Tag-Ersteller hinzufügen“ eine IAM Rolle oder einen Benutzer aus, der über die erforderlichen Rechte zum Erstellen von LF-Tags verfügt.

  4. Aktivieren Sie Create LF-Tag das Kontrollkästchen „Berechtigungen“.

  5. (Optional) Wählen Sie Grantable Permission aus, um den ausgewählten Prinzipalen die Create LF-Tag Erlaubnis zu erteilen. Create LF-Tag

  6. Wählen Sie Hinzufügen aus.

AWS CLI
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTag"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTag"
    ]
}

Die folgenden Berechtigungen sind für eine LF-Tag-Ersteller-Rolle verfügbar:

Berechtigung Beschreibung
Drop Ein Principal mit dieser Berechtigung für ein LF-Tag kann ein LF-Tag aus dem Data Lake löschen. Der Principal erhält implizite Describe Berechtigungen für alle Tag-Werte einer LF-Tag-Ressource.
Alter Ein Principal mit dieser Berechtigung für ein LF-Tag kann einem LF-Tag Tag-Wert hinzufügen oder daraus entfernen. Der Principal erhält implizite Alter Berechtigungen für alle Tag-Werte eines LF-Tags.
Describe Ein Principal mit dieser Berechtigung für ein LF-Tag kann das LF-Tag und seine Werte einsehen, wenn er Ressourcen LF-Tags zuweist oder Berechtigungen für LF-Tags erteilt. Sie können für alle Schlüsselwerte oder für bestimmte Werte gewährenDescribe.
Associate Ein Principal mit dieser Berechtigung für ein LF-Tag kann das LF-Tag einer Datenkatalogressource zuweisen. Implizite Gewährung von Zuschüssen. Associate Describe
Grant with LF-Tag expression Ein Principal mit dieser Berechtigung für ein LF-Tag kann mithilfe des LF-Tag-Schlüssels und der LF-Tag-Werte Berechtigungen für Datenkatalogressourcen gewähren. Implizite Gewährung von Zuschüssen. Grant with LF-Tag expression Describe

Diese Genehmigungen sind erteilbar. Ein Principal, dem diese Berechtigungen mit der Grant-Option erteilt wurden, kann sie anderen Prinzipalen gewähren.