Menambahkan pembuat LF-tag - AWS Lake Formation
IAMizin yang diperlukan untuk membuat LF-tagTambahkan pembuat LF-tag

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menambahkan pembuat LF-tag

Secara default, administrator data lake dapat membuat, memperbarui, dan menghapus LF-tag, menetapkan tag ke sumber daya Katalog Data, dan memberikan izin tag ke prinsipal. Jika Anda ingin mendelegasikan operasi pembuatan dan pengelolaan tag ke kepala sekolah non-admin, administrator data lake dapat membuat peran pembuat LF-tag dan memberikan izin Lake Formation ke peran tersebut. Create LF-Tag Dengan Create LF-Tag izin yang dapat diberikan, pembuat LF-tag dapat mendelegasikan tugas pembuatan dan pemeliharaan tag ke kepala sekolah non-administratif lainnya.

Agar administrator data lake menetapkan LF-tag ke sumber daya Katalog Data, mereka diharuskan memberikan izin asosiasi pada LF-tag yang tidak dibuat oleh mereka.

catatan

Hibah izin lintas akun hanya dapat mencakup Describe dan Associate izin. Anda tidak dapat memberikanCreate LF-Tag,Drop,Alter, dan Grant with LFTag expressions izin kepada kepala sekolah di akun lain.

Lihat juga

IAMizin yang diperlukan untuk membuat LF-tag

Anda harus mengonfigurasi izin untuk mengizinkan prinsipal Lake Formation membuat LF-tag. Tambahkan pernyataan berikut ke kebijakan izin untuk prinsipal yang perlu menjadi pembuat LF-tag.

catatan

Meskipun administrator data lake memiliki izin Lake Formation implisit untuk membuat, memperbarui, dan menghapus LF-tag, untuk menetapkan LF-tag ke sumber daya, dan untuk memberikan LF-tag kepada prinsipal, administrator data lake juga memerlukan izin berikut. IAM

Untuk informasi selengkapnya, lihat Referensi persona dan IAM izin Lake Formation.

{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags"
     ]
 }

Prinsipal yang menetapkan LF-tag ke sumber daya dan memberikan LF-tag ke kepala sekolah harus memiliki izin yang sama, kecuali untuk,, dan izin. CreateLFTag UpdateLFTag DeleteLFTag

Tambahkan pembuat LF-tag

Pembuat LF-tag dapat membuat LF-tag, memperbarui kunci dan nilai tag, menghapus tag, mengaitkan tag ke sumber daya Katalog Data, dan memberikan izin pada sumber daya Katalog Data kepada prinsipal menggunakan metode LF-. TBAC Pembuat LF-tag juga dapat memberikan izin ini kepada kepala sekolah.

Anda dapat membuat peran pembuat LF-tag dengan menggunakan AWS Lake Formation konsol, theAPI, atau AWS Command Line Interface ()AWS CLI.

console
Untuk menambahkan pembuat LF-tag

  1. Buka konsol Lake Formation di https://console.aws.amazon.com/lakeformation/.

    Masuk sebagai administrator datalake.

  2. Di panel navigasi, di bawah Izin, pilih LF-tag dan izin.

    Pada halaman LF-tag dan izin, pilih bagian pembuat LF-tag dan pilih Tambahkan pembuat LF-tag.

    LF-Tag creator details form with Pengguna IAM selection and permission options.

  3. Pada halaman Tambahkan pembuat tag LF, pilih IAM peran atau pengguna yang memiliki izin yang diperlukan untuk membuat LF-tag.

  4. Aktifkan kotak centang Create LF-Tag izin.

  5. (Opsional) Untuk mengaktifkan prinsipal yang dipilih untuk memberikan Create LF-Tag izin kepada kepala sekolah, pilih Izin yang dapat diberikan. Create LF-Tag

  6. Pilih Tambahkan.

AWS CLI
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTag"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTag"
    ]
}

Berikut ini adalah izin yang tersedia untuk peran pembuat LF-tag:

Izin Deskripsi
Drop Seorang kepala sekolah dengan izin ini pada LF-tag dapat menghapus LF-tag dari danau data. Prinsipal mendapat Describe izin implisit pada semua nilai tag dari sumber daya LF-tag.
Alter Prinsipal dengan izin ini pada LF-tag dapat menambah atau menghapus nilai tag dari LF-tag. Prinsipal mendapat Alter izin implisit pada semua nilai tag LF-tag.
Describe Prinsipal dengan izin ini pada LF-tag dapat melihat LF-tag dan nilainya ketika mereka menetapkan LF-tag ke sumber daya atau memberikan izin pada LF-tag. Anda dapat memberikan Describe pada semua nilai kunci atau pada nilai tertentu.
Associate Prinsipal dengan izin ini pada LF-tag dapat menetapkan LF-tag ke sumber daya Katalog Data. Memberikan hibah Associate implisit. Describe
Grant with LF-Tag expression Prinsipal dengan izin ini pada LF-tag dapat memberikan izin pada sumber daya Katalog Data menggunakan kunci dan nilai LF-tag. Memberikan hibah Grant with LF-Tag expression implisit. Describe

Izin ini dapat diberikan. Seorang kepala sekolah yang telah diberikan izin ini dengan opsi hibah dapat memberikannya kepada prinsipal lain.