Hinzufügen von LF-Tag-Erstellern - AWS Lake Formation
Für die Erstellung von LF-Tags sind IAM-Berechtigungen erforderlichLF-Tag-Ersteller hinzufügen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Hinzufügen von LF-Tag-Erstellern

Standardmäßig können Data Lake-Administratoren LF-Tags erstellen, aktualisieren und löschen, Datenkatalogressourcen Tags zuweisen und Prinzipalen Tag-Berechtigungen gewähren. Wenn Sie die Tag-Erstellung und -Verwaltung an Prinzipale ohne Administratorrechte delegieren möchten, kann der Data Lake-Administrator LF-Tag-Erstellerrollen erstellen und Lake Formation Create LF-Tag Formation-Berechtigungen für die Rollen erteilen. Mit erteilbarer Create LF-Tag Genehmigung können LF-Tag-Ersteller Aufgaben zur Erstellung und Wartung von Tags an andere Personen delegieren, die keine Administratorrechte haben.

Anmerkung

Kontoübergreifende Genehmigungen können nur Berechtigungen beinhalten. Describe Associate Sie können Prinzipalen in einem anderen Konto keine DropAlter,, und Grant with LFTag expressions Berechtigungen gewährenCreate LF-Tag.

Weitere Informationen finden Sie auch unter

Für die Erstellung von LF-Tags sind IAM-Berechtigungen erforderlich

Sie müssen Berechtigungen konfigurieren, damit ein Lake Formation-Prinzipal LF-Tags erstellen kann. Fügen Sie der Berechtigungsrichtlinie für den Prinzipal, der ein LF-Tag-Ersteller sein muss, die folgende Anweisung hinzu.

Anmerkung

Data Lake-Administratoren verfügen zwar über implizite Lake Formation Formation-Berechtigungen, um LF-Tags zu erstellen, zu aktualisieren und zu löschen, Ressourcen LF-Tags zuzuweisen und Prinzipalen LF-Tags zu gewähren, aber Data Lake-Administratoren benötigen auch die folgenden IAM-Berechtigungen.

Weitere Informationen finden Sie unter Referenz zu Personas und IAM-Berechtigungen in Lake Formation.

{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags"
     ]
 }

Principals, die Ressourcen LF-Tags zuweisen und Prinzipalen LF-Tags gewähren, müssen über dieselben Berechtigungen verfügen, mit Ausnahme der Berechtigungen, und. CreateLFTag UpdateLFTag DeleteLFTag

LF-Tag-Ersteller hinzufügen

Ein LF-Tag-Ersteller kann mithilfe der LF-TBAC-Methode ein LF-Tag erstellen, Tag-Schlüssel und -Werte aktualisieren, Tags löschen, Tags mit Datenkatalogressourcen verknüpfen und Prinzipalen Berechtigungen für Datenkatalog-Ressourcen gewähren. Der LF-Tag-Ersteller kann diese Berechtigungen auch Prinzipalen gewähren.

Sie können LF-Tag-Erstellerrollen mithilfe der AWS Lake Formation Konsole, der API oder der () erstellen. AWS Command Line Interface AWS CLI

console
Um einen LF-Tag-Ersteller hinzuzufügen

  1. Öffnen Sie die Lake-Formation-Konsole unter https://console.aws.amazon.com/lakeformation/.

    Melden Sie sich als Datalake-Administrator an.

  2. Wählen Sie im Navigationsbereich unter Berechtigungen die Option LF-Tags und Berechtigungen aus.

    Wählen Sie auf der Seite LF-Tags und Berechtigungen den Abschnitt LF-Tag-Ersteller und dann LF-Tag-Ersteller hinzufügen aus.

    LF-Tag creator details form with IAM-Benutzer selection and permission options.

  3. Wählen Sie auf der Seite „LF-Tag-Ersteller hinzufügen“ eine IAM-Rolle oder einen IAM-Benutzer aus, der über die erforderlichen Berechtigungen zum Erstellen von LF-Tags verfügt.

  4. Kontrollkästchen „Berechtigung aktivieren“. Create LF-Tag

  5. (Optional) Wählen Sie Grantable Permission aus, um den ausgewählten Prinzipalen die Create LF-Tag Erlaubnis zu erteilen. Create LF-Tag

  6. Wählen Sie Hinzufügen aus.

AWS CLI
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTag"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTag"
    ]
}

Die folgenden Berechtigungen sind für eine LF-Tag-Ersteller-Rolle verfügbar:

Berechtigung Beschreibung
Drop Ein Principal mit dieser Berechtigung für ein LF-Tag kann ein LF-Tag aus dem Data Lake löschen. Der Principal erhält implizite Describe Berechtigungen für alle Tag-Werte einer LF-Tag-Ressource.
Alter Ein Principal mit dieser Berechtigung für ein LF-Tag kann einem LF-Tag Tag-Wert hinzufügen oder daraus entfernen. Der Principal erhält implizite Alter Berechtigungen für alle Tag-Werte eines LF-Tags.
Describe Ein Principal mit dieser Berechtigung für ein LF-Tag kann das LF-Tag und seine Werte einsehen, wenn er Ressourcen LF-Tags zuweist oder Berechtigungen für LF-Tags erteilt. Sie können für alle Schlüsselwerte oder für bestimmte Werte gewährenDescribe.
Associate Ein Principal mit dieser Berechtigung für ein LF-Tag kann das LF-Tag einer Datenkatalogressource zuweisen. Implizite Gewährung von Zuschüssen. Associate Describe
Grant with LF-Tag expression Ein Principal mit dieser Berechtigung für ein LF-Tag kann mithilfe des LF-Tag-Schlüssels und der LF-Tag-Werte Berechtigungen für Datenkatalogressourcen gewähren. Implizite Gewährung von Zuschüssen. Grant with LF-Tag expression Describe

Diese Genehmigungen sind erteilbar. Ein Principal, dem diese Berechtigungen mit der Grant-Option erteilt wurden, kann sie anderen Prinzipalen gewähren.