Référence des personnalités de Lake Formation et des autorisations IAM - AWS Lake Formation
AWS Lake Formation personasAWS politiques gérées pour Lake FormationAutorisations suggérées par Persona

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Référence des personnalités de Lake Formation et des autorisations IAM

Cette section répertorie certains personnages de Lake Formation suggérés et leurs autorisations suggérées AWS Identity and Access Management (IAM). Pour plus d'informations sur les autorisations de Lake Formation, consultezRéférence des autorisations de Lake Formation.

AWS Lake Formation personas

Le tableau suivant répertorie les AWS Lake Formation personnages suggérés.

Lake Formation Personas
Persona Description
Administrateur IAM (superutilisateur) (Obligatoire) Utilisateur capable de créer des utilisateurs et des rôles IAM. Possède la politique AdministratorAccess AWS gérée. Possède toutes les autorisations sur toutes les ressources du Lake Formation. Possibilité d'ajouter des administrateurs de data lake. Impossible d'accorder les autorisations de Lake Formation s'il n'est pas également désigné administrateur du lac de données.
Administrateur du lac de données (Obligatoire) Utilisateur pouvant enregistrer des sites Amazon S3, accéder au catalogue de données, créer des bases de données, créer et exécuter des flux de travail, accorder des autorisations Lake Formation à d'autres utilisateurs et consulter les AWS CloudTrail journaux. Dispose de moins d'autorisations IAM que l'administrateur IAM, mais suffisamment pour administrer le lac de données. Impossible d'ajouter d'autres administrateurs de data lake.
Administrateur en lecture seule (Facultatif) Utilisateur qui peut consulter les informations principales, les ressources du catalogue de données, les autorisations et les AWS CloudTrail journaux, sans les autorisations nécessaires pour effectuer des mises à jour.
Ingénieur de données (Facultatif) Utilisateur capable de créer des bases de données, de créer et d'exécuter des robots d'exploration et des flux de travail, et d'accorder des autorisations à Lake Formation sur les tables du catalogue de données créées par les robots et les flux de travail. Nous vous recommandons de faire de tous les ingénieurs de données des créateurs de bases de données. Pour plus d’informations, consultez Création d’une base de données.
Analyste des données (Facultatif) Utilisateur qui peut exécuter des requêtes sur le lac de données en utilisant, par exemple, Amazon Athena. Dispose uniquement des autorisations suffisantes pour exécuter des requêtes.
Rôle du flux de travail (Obligatoire) Rôle qui exécute un flux de travail pour le compte d'un utilisateur. Vous spécifiez ce rôle lorsque vous créez un flux de travail à partir d'un plan.

AWS politiques gérées pour Lake Formation

Vous pouvez accorder les autorisations AWS Identity and Access Management (IAM) requises pour travailler en AWS Lake Formation utilisant des politiques AWS gérées et des politiques intégrées. Les politiques AWS gérées suivantes sont disponibles pour Lake Formation.

AWS politique gérée : AWSLakeFormationDataAdmin

AWSLakeFormationDataAdminla politique accorde un accès administratif AWS Lake Formation aux services connexes tels que la gestion AWS Glue des lacs de données.

Vous pouvez vous associer AWSLakeFormationDataAdmin à vos utilisateurs, groupes et rôles.

Détails de l'autorisation

  • CloudTrail— Permet aux directeurs de consulter les AWS CloudTrail journaux. Cela est nécessaire pour vérifier toute erreur dans la configuration du lac de données.

  • Glue— Permet aux principaux d'afficher, de créer et de mettre à jour des tables de métadonnées et des bases de données dans le catalogue de données. Cela inclut les opérations d'API qui commencent par Get ListCreate,Update,Delete, etSearch. Cela est nécessaire pour gérer les métadonnées des tables des lacs de données.

  • IAM— Permet aux principaux de récupérer des informations sur les utilisateurs IAM, les rôles et les politiques associées aux rôles. Cela est nécessaire pour que l'administrateur des données puisse examiner et répertorier les utilisateurs et les rôles IAM afin d'accorder des autorisations à Lake Formation.

  • Lake Formation— Accorde aux administrateurs de lacs de données les autorisations nécessaires à Lake Formation pour gérer les lacs de données.

  • S3— Permet aux principaux de récupérer des informations sur les compartiments Amazon S3 et leur emplacement afin de configurer l'emplacement des données pour les lacs de données.

"Statement": [
        {
            "Sid": "AWSLakeFormationDataAdminAllow",
            "Effect": "Allow",
            "Action": [
                "lakeformation:*",
                "cloudtrail:DescribeTrails",
                "cloudtrail:LookupEvents",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:CreateDatabase",
                "glue:UpdateDatabase",
                "glue:DeleteDatabase",
                "glue:GetConnections",
                "glue:SearchTables",
                "glue:GetTable",
                "glue:CreateTable",
                "glue:UpdateTable",
                "glue:DeleteTable",
                "glue:GetTableVersions",
                "glue:GetPartitions",
                "glue:GetTables",
                "glue:ListWorkflows",
                "glue:BatchGetWorkflows",
                "glue:DeleteWorkflow",
                "glue:GetWorkflowRuns",
                "glue:StartWorkflowRun",
                "glue:GetWorkflow",
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:GetBucketAcl",
                "iam:ListUsers",
                "iam:ListRoles",
                "iam:GetRole",
                "iam:GetRolePolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AWSLakeFormationDataAdminDeny",
            "Effect": "Deny",
            "Action": [
                "lakeformation:PutDataLakeSettings"
            ],
                "Resource": "*"
        }
    ]
}
Note

La AWSLakeFormationDataAdmin politique n'accorde pas toutes les autorisations requises aux administrateurs de lacs de données. Des autorisations supplémentaires sont nécessaires pour créer et exécuter des flux de travail et enregistrer des sites avec le rôle lié au serviceAWSServiceRoleForLakeFormationDataAccess. Pour plus d’informations, consultez Création d'un administrateur de lac de données et Utilisation de rôles liés à un service pour Lake Formation.

AWS politique gérée : AWSLakeFormationCrossAccountManager

AWSLakeFormationCrossAccountManagerla politique fournit un accès multicompte aux AWS Glue ressources via Lake Formation et accorde un accès en lecture à d'autres services requis tels que AWS Organizations et AWS RAM.

Vous pouvez vous associer AWSLakeFormationCrossAccountManager à vos utilisateurs, groupes et rôles.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes.

  • Glue— Permet aux principaux de définir ou de supprimer la politique de ressources du catalogue de données pour le contrôle d'accès.

  • Organizations— Permet aux responsables de récupérer les informations relatives aux comptes et aux unités organisationnelles (UO) d'une organisation.

  • ram:CreateResourceShare— Permet aux principaux de créer un partage de ressources.

  • ram:UpdateResourceShare: permet aux principaux de modifier certaines propriétés du partage de ressources spécifié.

  • ram:DeleteResourceShare— Permet aux principaux de supprimer le partage de ressources spécifié.

  • ram:AssociateResourceShare— Permet aux principaux d'ajouter la liste de principes et la liste de ressources spécifiées à un partage de ressources.

  • ram:DisassociateResourceShare— Permet aux principaux d'empêcher les principaux ou les ressources spécifiés de participer au partage de ressources spécifié.

  • ram:GetResourceShares— Permet aux principaux de récupérer des informations sur les partages de ressources que vous possédez ou qui sont partagés avec vous.

  • ram:RequestedResourceType— Permet aux principaux de récupérer le type de ressource (base de données, table ou catalogue).

  • AssociateResourceSharePermission— Permet aux principaux d'ajouter ou de remplacer l' AWS RAM autorisation pour un type de ressource inclus dans un partage de ressources. Vous pouvez avoir exactement une autorisation associée à chaque type de ressource dans le partage de ressources.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AllowCreateResourceShare",
            "Effect": "Allow",
            "Action": [
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringLikeIfExists": {
                    "ram:RequestedResourceType": [
                        "glue:Table",
                        "glue:Database",
                        "glue:Catalog"
                    ]
                }
            }
        },
        {
            "Sid": "AllowManageResourceShare",
            "Effect": "Allow",
            "Action": [
                "ram:UpdateResourceShare",
                "ram:DeleteResourceShare",
                "ram:AssociateResourceShare",
                "ram:DisassociateResourceShare",
                "ram:GetResourceShares"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:ResourceShareName": [
                        "LakeFormation*"
                    ]
                }
            }
        },
        {
            "Sid": "AllowManageResourceSharePermissions",
            "Effect": "Allow",
            "Action": [
                "ram:AssociateResourceSharePermission"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:PermissionArn": [
                        "arn:aws:ram::aws:permission/AWSRAMLFEnabled*"
                    ]
                }
            }
        },
        {
            "Sid": "AllowXAcctManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "glue:PutResourcePolicy",
                "glue:DeleteResourcePolicy",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "ram:Get*",
                "ram:List*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowOrganizationsPermissions",
            "Effect": "Allow",
            "Action": [
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        }
    ]
}

AWS politique gérée : AWSGlueConsoleFullAccess

AWSGlueConsoleFullAccessla politique accorde un accès complet aux AWS Glue ressources lorsqu'une identité à laquelle la politique est attachée utilise le AWS Management Console. Si vous suivez la convention de dénomination pour les ressources spécifiées dans la politique, les utilisateurs bénéficient des capacités totales de la console. Cette politique s'applique généralement aux utilisateurs de la AWS Glue console.

Lake Formation assume également le rôle AWSGlueServiceRole de service permettant d'accéder aux services connexes, notamment Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) et Amazon. AWS Glue CloudWatch

AWS managed policy:LakeFormationDataAccessServiceRolePolicy

Cette politique est attachée à un rôle lié au service nommé ServiceRoleForLakeFormationDataAccess qui permet au service d'effectuer des actions sur les ressources à votre demande. Vous ne pouvez pas associer cette politique à vos identités IAM.

Cette politique permet aux AWS services intégrés de Lake Formation tels qu'Amazon Redshift Amazon Athena d'utiliser le rôle lié au service pour découvrir les ressources Amazon S3.

Pour plus d'informations, veuillez consulter Utilisation de rôles liés à un service pour Lake Formation.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes.

  • s3:ListAllMyBuckets— Renvoie la liste de tous les buckets appartenant à l'expéditeur authentifié de la demande.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "LakeFormationDataAccessServiceRolePolicy",
			"Effect": "Allow",
			"Action": [
				"s3:ListAllMyBuckets"
			],
			"Resource": [
				"arn:aws:s3:::*"
			]
		}
	]
}
Lake Formation met à jour les politiques AWS gérées

Consultez les détails des mises à jour des politiques AWS gérées pour Lake Formation depuis que ce service a commencé à suivre ces modifications.

Modification Description Date
AWSLakeFormationCrossAccountManagerPolitique mise à jour de Lake Formation. Lake Formation a amélioré la AWSLakeFormationCrossAccountManagerpolitique en ajoutant des éléments Sid à la déclaration de politique. mars 2024
AWSLakeFormationDataAdminPolitique mise à jour de Lake Formation. Lake Formation a amélioré la AWSLakeFormationDataAdminpolitique en ajoutant un élément Sid à la déclaration de politique et en supprimant une action redondante. mars 2024
LakeFormationDataAccessServiceRolePolicyPolitique mise à jour de Lake Formation. Lake Formation a amélioré la LakeFormationDataAccessServiceRolePolicypolitique en ajoutant un élément Sid à la déclaration de politique. février 2024
AWSLakeFormationCrossAccountManagerPolitique mise à jour de Lake Formation. Lake Formation a amélioré la AWSLakeFormationCrossAccountManagerpolitique en ajoutant une nouvelle autorisation pour permettre le partage de données entre comptes en mode d'accès hybride. octobre 2023
AWSLakeFormationCrossAccountManagerPolitique mise à jour de Lake Formation. Lake Formation a amélioré la AWSLakeFormationCrossAccountManagerpolitique de création d'un seul partage de ressources par compte bénéficiaire lors du premier partage d'une ressource. Toutes les ressources partagées par la suite avec le même compte sont rattachées au même partage de ressources. 6 mai 2022
Lake Formation a commencé à suivre les changements. Lake Formation a commencé à suivre les modifications apportées AWS à ses politiques gérées. 6 mai 2022

Autorisations suggérées par Persona

Les autorisations suggérées pour chaque personnage sont les suivantes. L'administrateur IAM n'est pas inclus car il dispose de toutes les autorisations sur toutes les ressources.

Autorisations d'administrateur du lac de données

Important

Dans les politiques suivantes, remplacez <account-id>par un numéro de AWS compte valide et remplacez <workflow_role>par le nom d'un rôle autorisé à exécuter un flux de travail, comme défini dansAutorisations relatives aux rôles du flux.

Type de politique Politique
AWS politiques gérées

  • AWSLakeFormationDataAdmin

  • LakeFormationDataAccessServiceRolePolicy(politique des rôles liés au service)

  • AWSGlueConsoleFullAccess (facultatif)

  • CloudWatchLogsReadOnlyAccess (Facultatif)

  • AWSLakeFormationCrossAccountManager (Facultatif)

  • AmazonAthenaFullAccess (facultatif)

Pour plus d'informations sur les politiques AWS gérées facultatives, consultezCréation d'un administrateur de lac de données.
Politique en ligne (pour créer le rôle lié au service Lake Formation) 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "lakeformation.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::<account-id>:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess"
        }
    ]
}
(Facultatif) Politique intégrée (politique de passe-rôle pour le rôle de flux de travail). Cela n'est nécessaire que si l'administrateur du lac de données crée et exécute des flux de travail. 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/<workflow_role>"
            ]
        }
    ]
}
(Facultatif) Politique en ligne (si votre compte accorde ou reçoit des autorisations entre comptes Lake Formation). Cette politique permet d'accepter ou de rejeter les invitations à partager des AWS RAM ressources et d'autoriser l'octroi d'autorisations entre comptes aux organisations. ram:EnableSharingWithAwsOrganizationest obligatoire uniquement pour les administrateurs de data lake dans le compte AWS Organizations de gestion. 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:RejectResourceShareInvitation",
                "ec2:DescribeAvailabilityZones",
                "ram:EnableSharingWithAwsOrganization"
            ],
            "Resource": "*"
        }
    ]
}

Autorisations d'administrateur en lecture seule

Type de stratégie Politique
Politique en ligne (de base) 
{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "lakeformation:GetEffectivePermissionsForPath",
            "lakeformation:ListPermissions",
            "lakeformation:ListDataCellsFilter",
            "lakeformation:GetDataCellsFilter",
            "lakeformation:SearchDatabasesByLFTags",
            "lakeformation:SearchTablesByLFTags",
            "lakeformation:GetLFTag",
            "lakeformation:ListLFTags",
            "lakeformation:GetResourceLFTags",
            "lakeformation:ListLakeFormationOptins",
            "cloudtrail:DescribeTrails",
            "cloudtrail:LookupEvents",
            "glue:GetDatabase",
            "glue:GetDatabases",
            "glue:GetConnections",
            "glue:SearchTables",
            "glue:GetTable",
            "glue:GetTableVersions",
            "glue:GetPartitions",
            "glue:GetTables",
            "glue:GetWorkflow",
            "glue:ListWorkflows",
            "glue:BatchGetWorkflows",
            "glue:GetWorkflowRuns",
            "glue:GetWorkflow",
            "s3:ListBucket",
            "s3:GetBucketLocation",
            "s3:ListAllMyBuckets",
            "s3:GetBucketAcl",
            "iam:ListUsers",
            "iam:ListRoles",
            "iam:GetRole",
            "iam:GetRolePolicy"
         ],
         "Resource":"*"
      },
      {  
         "Effect":"Deny",
         "Action":[  
            "lakeformation:PutDataLakeSettings"
         ],
         "Resource":"*"
      }
   ]
}

Autorisations d'ingénieur de données

Important

Dans les politiques suivantes, remplacez <account-id>par un numéro de AWS compte valide et remplacez <workflow_role>par le nom du rôle du flux de travail.

Type de politique Politique
AWS politique gérée AWSGlueConsoleFullAccess
Politique en ligne (de base) 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess",
                "lakeformation:GrantPermissions",
                "lakeformation:RevokePermissions",
                "lakeformation:BatchGrantPermissions",
                "lakeformation:BatchRevokePermissions",
                "lakeformation:ListPermissions",
                "lakeformation:AddLFTagsToResource",
                "lakeformation:RemoveLFTagsFromResource",
                "lakeformation:GetResourceLFTags",
                "lakeformation:ListLFTags",
                "lakeformation:GetLFTag",
                "lakeformation:SearchTablesByLFTags",
                "lakeformation:SearchDatabasesByLFTags",
                "lakeformation:GetWorkUnits",
                "lakeformation:GetWorkUnitResults",
                "lakeformation:StartQueryPlanning",
                "lakeformation:GetQueryState",
                "lakeformation:GetQueryStatistics"
            ],
            "Resource": "*"
        }
    ]
}
Politique intégrée (pour les opérations sur les tables gouvernées, y compris les opérations au sein des transactions) 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:StartTransaction",
                "lakeformation:CommitTransaction",
                "lakeformation:CancelTransaction",
                "lakeformation:ExtendTransaction",
                "lakeformation:DescribeTransaction",
                "lakeformation:ListTransactions",
                "lakeformation:GetTableObjects",
                "lakeformation:UpdateTableObjects",
                "lakeformation:DeleteObjectsOnCancel"
            ],
            "Resource": "*"
        }
    ]
}
Politique en ligne (pour le contrôle d'accès aux métadonnées à l'aide de la méthode de contrôle d'accès basée sur les balises Lake Formation (LF-TBAC)) 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:AddLFTagsToResource",
                "lakeformation:RemoveLFTagsFromResource",
                "lakeformation:GetResourceLFTags",
                "lakeformation:ListLFTags",
                "lakeformation:GetLFTag",
                "lakeformation:SearchTablesByLFTags",
                "lakeformation:SearchDatabasesByLFTags"
            ],
            "Resource": "*"
        }
    ]
}
Politique intégrée (politique de passe-rôle pour le rôle de flux de travail) 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/<workflow_role>"
            ]
        }
    ]
}

Autorisations d'analyse de données

Type de politique Politique
AWS politique gérée AmazonAthenaFullAccess
Politique en ligne (de base) 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess",
                "glue:GetTable",
                "glue:GetTables",
                "glue:SearchTables",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetPartitions",
                "lakeformation:GetResourceLFTags",
                "lakeformation:ListLFTags",
                "lakeformation:GetLFTag",
                "lakeformation:SearchTablesByLFTags",
                "lakeformation:SearchDatabasesByLFTags"                
           ],
            "Resource": "*"
        }
    ]
}
(Facultatif) Politique intégrée (pour les opérations sur les tables gouvernées, y compris les opérations au sein des transactions) 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:StartTransaction",
                "lakeformation:CommitTransaction",
                "lakeformation:CancelTransaction",
                "lakeformation:ExtendTransaction",
                "lakeformation:DescribeTransaction",
                "lakeformation:ListTransactions",
                "lakeformation:GetTableObjects",
                "lakeformation:UpdateTableObjects",
                "lakeformation:DeleteObjectsOnCancel"
            ],
            "Resource": "*"
        }
    ]
}

Autorisations relatives aux rôles du flux

Ce rôle dispose des autorisations requises pour exécuter un flux de travail. Vous spécifiez un rôle doté de ces autorisations lorsque vous créez un flux de travail.

Important

Dans les politiques suivantes, remplacez-le <region>par un identifiant de AWS région valide (par exempleus-east-1), <account-id>par un numéro de AWS compte valide, <workflow_role>par le nom du rôle du flux de travail et <your-s3-cloudtrail-bucket>par le chemin Amazon S3 vers vos AWS CloudTrail journaux.

Type de politique Politique
AWS politique gérée AWSGlueServiceRole
Politique en ligne (accès aux données) 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Lakeformation",
            "Effect": "Allow",
            "Action": [
                 "lakeformation:GetDataAccess",
                 "lakeformation:GrantPermissions"
             ],
            "Resource": "*"
        }
    ]
}
Politique intégrée (politique de passe-rôle pour le rôle de flux de travail) 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/<workflow_role>"
            ]
        }
    ]
}
Politique en ligne (pour l'ingestion de données en dehors du lac de données, par exemple, AWS CloudTrail des journaux) 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject", "s3:ListBucket"],
            "Resource": ["arn:aws:s3:::<your-s3-cloudtrail-bucket>/*"]
        }
    ]
}