Autorizzazioni IAM necessarie per concedere o revocare le autorizzazioni di Lake Formation - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni IAM necessarie per concedere o revocare le autorizzazioni di Lake Formation

Tutti i responsabili, incluso l'amministratore del data lake, necessitano delle seguenti autorizzazioni AWS Identity and Access Management (IAM) per concedere o revocare le autorizzazioni AWS Lake Formation Data Catalog o le autorizzazioni di localizzazione dei dati con l'API Lake Formation o il: AWS CLI

  • lakeformation:GrantPermissions

  • lakeformation:BatchGrantPermissions

  • lakeformation:RevokePermissions

  • lakeformation:BatchRevokePermissions

  • glue:GetTableo glue:GetDatabase per una tabella o un database a cui stai concedendo le autorizzazioni utilizzando il metodo della risorsa denominata.

Nota

Gli amministratori di Data Lake dispongono delle autorizzazioni implicite di Lake Formation per concedere e revocare le autorizzazioni di Lake Formation. Ma hanno comunque bisogno delle autorizzazioni IAM sulle operazioni API di concessione e revoca di Lake Formation.

I ruoli IAM con policy AWSLakeFormationDataAdmin AWS gestita non possono aggiungere nuovi amministratori di data lake perché questa policy contiene un rifiuto esplicito per il funzionamento dell'API Lake Formation,. PutDataLakeSetting

La seguente policy IAM è consigliata ai responsabili che non sono amministratori di data lake e che desiderano concedere o revocare le autorizzazioni utilizzando la console Lake Formation.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:ListPermissions", "lakeformation:GrantPermissions", "lakeformation:BatchGrantPermissions", "lakeformation:RevokePermissions", "lakeformation:BatchRevokePermissions", "glue:GetDatabases", "glue:SearchTables", "glue:GetTables", "glue:GetDatabase", "glue:GetTable", "iam:ListUsers", "iam:ListRoles", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso:DescribeInstance" ], "Resource": "*" } ] }

Tutte le autorizzazioni glue: e le iam: autorizzazioni di questa policy sono disponibili nella policy gestita. AWS AWSGlueConsoleFullAccess

Per concedere le autorizzazioni utilizzando il controllo degli accessi basato su tag Lake Formation (LF-TBAC), i principali necessitano di autorizzazioni IAM aggiuntive. Per ulteriori informazioni, consulta Buone pratiche e considerazioni per il controllo degli accessi basato su tag Lake Formation e Riferimento ai personaggi di Lake Formation e alle autorizzazioni IAM.

Autorizzazioni tra account

Gli utenti che desiderano concedere autorizzazioni Lake Formation su più account utilizzando il metodo della risorsa denominata devono disporre anche delle autorizzazioni nella AWSLakeFormationCrossAccountManager AWS politica gestita.

Gli amministratori di Data Lake necessitano delle stesse autorizzazioni per concedere autorizzazioni su più account, oltre all'autorizzazione AWS Resource Access Manager (AWS RAM) per consentire la concessione di autorizzazioni alle organizzazioni. Per ulteriori informazioni, consulta Autorizzazioni di amministratore di Data Lake.

L'utente amministrativo

Un preside con autorizzazioni amministrative, ad esempio con la policy AdministratorAccess AWS gestita, dispone delle autorizzazioni per concedere le autorizzazioni di Lake Formation e creare amministratori di data lake. Per negare a un utente o a un ruolo l'accesso alle operazioni di amministratore di Lake Formation, allega o aggiungi alla sua policy una Deny dichiarazione per le operazioni dell'API dell'amministratore.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lakeformation:GetDataLakeSettings", "lakeformation:PutDataLakeSettings" ], "Effect": "Deny", "Resource": [ "*" ] } ] }
Importante

Per impedire agli utenti di aggiungersi come amministratori con uno script di estrazione, trasformazione e caricamento (ETL), assicurati che a tutti gli utenti e i ruoli non amministratori sia negato l'accesso a queste operazioni API. La policy AWSLakeFormationDataAdmin AWS gestita contiene una negazione esplicita del funzionamento dell'API Lake Formation, PutDataLakeSetting che impedisce agli utenti di aggiungere nuovi amministratori di data lake.