Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Izin IAM diperlukan untuk memberikan atau mencabut izin Lake Formation
Semua kepala sekolah, termasuk administrator data lake, memerlukan izin AWS Identity and Access Management (IAM) berikut untuk memberikan atau mencabut izin Katalog AWS Lake Formation Data atau izin lokasi data dengan Lake Formation API atau: AWS CLI
-
lakeformation:GrantPermissions -
lakeformation:BatchGrantPermissions -
lakeformation:RevokePermissions -
lakeformation:BatchRevokePermissions -
glue:GetTable,glue:GetDatabase, atauglue:GetCataloguntuk tabel, database, atau katalog yang Anda berikan izin menggunakan metode sumber daya bernama.
catatan
Administrator danau data memiliki izin Lake Formation implisit untuk memberikan dan mencabut izin Lake Formation. Tetapi mereka masih membutuhkan izin IAM pada hibah Lake Formation dan mencabut operasi API.
Peran IAM dengan kebijakan AWSLakeFormationDataAdmin AWS terkelola tidak dapat menambahkan administrator data lake baru karena kebijakan ini berisi penolakan eksplisit untuk operasi Lake Formation API,. PutDataLakeSetting
Kebijakan IAM berikut direkomendasikan untuk prinsipal yang bukan administrator data lake dan yang ingin memberikan atau mencabut izin menggunakan konsol Lake Formation.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:ListPermissions", "lakeformation:GrantPermissions", "lakeformation:BatchGrantPermissions", "lakeformation:RevokePermissions", "lakeformation:BatchRevokePermissions", "glue:GetCatalogs", "glue:GetDatabases", "glue:SearchTables", "glue:GetTables", "glue:GetCatalog", "glue:GetDatabase", "glue:GetTable", "iam:ListUsers", "iam:ListRoles", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso:DescribeInstance" ], "Resource": "*" } ] }
Semua izin glue: dan iam: izin dalam kebijakan ini tersedia dalam kebijakan AWS AWSGlueConsoleFullAccess terkelola.
Untuk memberikan izin dengan menggunakan kontrol akses berbasis tag Lake Formation (LF-TBAC), kepala sekolah memerlukan izin IAM tambahan. Untuk informasi selengkapnya, lihat Praktik dan pertimbangan terbaik kontrol akses berbasis tag Lake Formation dan Referensi personas Lake Formation dan izin IAM.
Izin lintas akun
Pengguna yang ingin memberikan izin Lake Formation lintas akun dengan menggunakan metode sumber daya bernama juga harus memiliki izin dalam kebijakan AWSLakeFormationCrossAccountManager AWS terkelola.
Administrator data lake memerlukan izin yang sama untuk memberikan izin lintas akun, ditambah izin AWS Resource Access Manager (AWS RAM) untuk mengaktifkan pemberian izin kepada organisasi. Untuk informasi selengkapnya, lihat Izin administrator danau data.
Pengguna administratif
Kepala sekolah dengan izin administratif—misalnya, dengan kebijakan AdministratorAccess AWS terkelola—memiliki izin untuk memberikan izin Lake Formation dan membuat administrator data lake. Untuk menolak akses pengguna atau peran ke operasi administrator Lake Formation, lampirkan atau tambahkan Deny pernyataan kebijakannya untuk operasi API administrator.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lakeformation:GetDataLakeSettings", "lakeformation:PutDataLakeSettings" ], "Effect": "Deny", "Resource": [ "*" ] } ] }
penting
Untuk mencegah pengguna menambahkan diri mereka sebagai administrator dengan skrip ekstrak, transformasi, dan muat (ETL), pastikan bahwa semua pengguna dan peran non-administrator ditolak akses ke operasi API ini. Kebijakan AWSLakeFormationDataAdmin AWS
terkelola berisi penolakan eksplisit untuk operasi Lake Formation API, PutDataLakeSetting yang mencegah pengguna menambahkan administrator data lake baru.
