Permisos de IAM necesarios para conceder o revocar permisos de Lake Formation - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permisos de IAM necesarios para conceder o revocar permisos de Lake Formation

Todos los responsables, incluido el administrador del lago de datos, necesitan los siguientes permisos AWS Identity and Access Management (IAM) para conceder o revocar los permisos del catálogo de AWS Lake Formation datos o los permisos de ubicación de datos con la API de Lake Formation o la: AWS CLI

  • lakeformation:GrantPermissions

  • lakeformation:BatchGrantPermissions

  • lakeformation:RevokePermissions

  • lakeformation:BatchRevokePermissions

  • glue:GetTable o glue:GetDatabase para una tabla o base de datos a la que esté concediendo permisos con el método de recursos con nombre.

nota

Los administradores del lago de datos tienen permisos implícitos de Lake Formation para conceder y revocar permisos de Lake Formation. Pero aún necesitan los permisos IAM en la concesión de Lake Formation y revocar las operaciones de API.

Los roles de IAM con políticas AWSLakeFormationDataAdmin AWS administradas no pueden agregar nuevos administradores de lagos de datos porque esta política contiene una denegación explícita de la operación de la API Lake Formation,PutDataLakeSetting.

La siguiente política de IAM se recomienda para las entidades principales que no son administradores del lago de datos y que desean conceder o revocar permisos utilizando la consola de Lake Formation.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:ListPermissions",
                "lakeformation:GrantPermissions",
                "lakeformation:BatchGrantPermissions",
                "lakeformation:RevokePermissions",
                "lakeformation:BatchRevokePermissions",
                "glue:GetDatabases",
                "glue:SearchTables",
                "glue:GetTables",
                "glue:GetDatabase",
                "glue:GetTable",
                "iam:ListUsers",
                "iam:ListRoles",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "sso:DescribeInstance"
            ],
            "Resource": "*"
        }
    ]
}

Todos los iam: permisos glue: de esta política están disponibles en la política AWS AWSGlueConsoleFullAccess gestionada.

Para conceder permisos utilizando el control de acceso basado en etiquetas (LF-TBAC), las entidades principales necesitan permisos IAM adicionales. Para obtener más información, consulte Prácticas recomendadas y consideraciones sobre el control de acceso basado en etiquetas de Lake Formation y Personas de Lake Formation y referencia de permisos IAM.

Permisos entre cuentas

Los usuarios que quieran conceder permisos de Lake Formation para varias cuentas mediante el método de recurso con nombre asignado también deben tener los permisos en la política AWSLakeFormationCrossAccountManager AWS gestionada.

Los administradores del lago de datos necesitan esos mismos permisos para conceder permisos entre cuentas, además del permiso AWS Resource Access Manager (AWS RAM) para permitir la concesión de permisos a las organizaciones. Para obtener más información, consulte Permisos de administrador del lago de datos.

El usuario administrativo

Un director con permisos administrativos (por ejemplo, con la política AdministratorAccess AWS gestionada) tiene permisos para conceder permisos a Lake Formation y crear administradores de lagos de datos. Para denegar a un usuario o rol el acceso a las operaciones del administrador de Lake Formation, adjunte o añada a su política una instrucción Deny para las operaciones de la API del administrador.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "lakeformation:GetDataLakeSettings",
                "lakeformation:PutDataLakeSettings"
            ],
            "Effect": "Deny",
            "Resource": [
                "*"
            ]
        }
    ]
}
importante

Para evitar que los usuarios se añadan como administradores con un script de extracción, transformación y carga (ETL), asegúrese de que todos los usuarios y roles que no sean administradores tengan denegado el acceso a estas operaciones de la API. La política AWSLakeFormationDataAdmin AWS gestionada contiene una denegación explícita de la operación de la API de Lake Formation, PutDataLakeSetting que impide que los usuarios agreguen nuevos administradores de lagos de datos.