IAMautorizzazioni necessarie per concedere o revocare le autorizzazioni di Lake Formation - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

IAMautorizzazioni necessarie per concedere o revocare le autorizzazioni di Lake Formation

Tutti i responsabili, incluso l'amministratore del data lake, necessitano delle seguenti AWS Identity and Access Management (IAM) autorizzazioni per concedere o revocare le autorizzazioni AWS Lake Formation Data Catalog o le autorizzazioni di localizzazione dei dati con Lake Formation o il: API AWS CLI

  • lakeformation:GrantPermissions

  • lakeformation:BatchGrantPermissions

  • lakeformation:RevokePermissions

  • lakeformation:BatchRevokePermissions

  • glue:GetTableo glue:GetDatabase per una tabella o un database a cui stai concedendo le autorizzazioni utilizzando il metodo di risorsa denominato.

Nota

Gli amministratori di Data Lake dispongono delle autorizzazioni implicite di Lake Formation per concedere e revocare le autorizzazioni di Lake Formation. Ma hanno ancora bisogno delle IAM autorizzazioni per le operazioni di concessione e API revoca di Lake Formation.

IAMi ruoli con policy AWSLakeFormationDataAdmin AWS gestita non possono aggiungere nuovi amministratori di data lake perché questa policy contiene un rifiuto esplicito per l'operazione Lake Formation,. API PutDataLakeSetting

La seguente IAM politica è consigliata ai responsabili che non sono amministratori di data lake e che desiderano concedere o revocare le autorizzazioni utilizzando la console Lake Formation.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:ListPermissions",
                "lakeformation:GrantPermissions",
                "lakeformation:BatchGrantPermissions",
                "lakeformation:RevokePermissions",
                "lakeformation:BatchRevokePermissions",
                "glue:GetDatabases",
                "glue:SearchTables",
                "glue:GetTables",
                "glue:GetDatabase",
                "glue:GetTable",
                "iam:ListUsers",
                "iam:ListRoles",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "sso:DescribeInstance"
            ],
            "Resource": "*"
        }
    ]
}

Tutte le autorizzazioni glue: e le iam: autorizzazioni di questa policy sono disponibili nella policy gestita. AWS AWSGlueConsoleFullAccess

Per concedere le autorizzazioni utilizzando il controllo degli accessi basato su tag Lake Formation (LF-TBAC), i mandanti necessitano di autorizzazioni aggiuntive. IAM Per ulteriori informazioni, consulta Buone pratiche e considerazioni per il controllo degli accessi basato su tag Lake Formation e Riferimento ai personaggi e alle IAM autorizzazioni di Lake Formation.

Autorizzazioni tra account

Gli utenti che desiderano concedere autorizzazioni Lake Formation su più account utilizzando il metodo della risorsa denominata devono disporre anche delle autorizzazioni nella AWSLakeFormationCrossAccountManager AWS politica gestita.

Gli amministratori di Data Lake necessitano delle stesse autorizzazioni per concedere autorizzazioni su più account, oltre all'autorizzazione AWS Resource Access Manager (AWS RAM) per consentire la concessione di autorizzazioni alle organizzazioni. Per ulteriori informazioni, consulta Autorizzazioni di amministratore di Data Lake.

L'utente amministrativo

Un preside con autorizzazioni amministrative, ad esempio con la policy AdministratorAccess AWS gestita, dispone delle autorizzazioni per concedere le autorizzazioni di Lake Formation e creare amministratori di data lake. Per negare a un utente o un ruolo l'accesso alle operazioni di amministratore di Lake Formation, allega o aggiungi alla sua politica una Deny dichiarazione per API le operazioni di amministratore.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "lakeformation:GetDataLakeSettings",
                "lakeformation:PutDataLakeSettings"
            ],
            "Effect": "Deny",
            "Resource": [
                "*"
            ]
        }
    ]
}
Importante

Per impedire agli utenti di aggiungersi come amministratori con uno script di estrazione, trasformazione e caricamento (ETL), assicurati che a tutti gli utenti e i ruoli non amministratori venga negato l'accesso a queste API operazioni. La policy AWSLakeFormationDataAdmin AWS gestita contiene una negazione esplicita dell'APIoperazione Lake Formation, PutDataLakeSetting che impedisce agli utenti di aggiungere nuovi amministratori di data lake.