新しいデータレイク管理者を追加するPutDataLakeSettings ときに Lake Formation 許可エラーが表示されるのはなぜですか？

IAM ユーザーまたはロールに AWSLakeFormationDataAdmin AWS 管理ポリシーが含まれている場合、新しいデータレイク管理者を追加することはできません。次のエラーが表示されます。

User arn:aws:sts::111122223333:assumed-role/lakeformation-admin-user is not authorized to perform: lakeformation:PutDataLakeSettings on resource: arn:aws:lakeformation:us-east-2:111122223333:catalog:111122223333 with an explicit deny in an identity-based policy

AWS 管理ポリシーAdministratorAccessは、 AWS Lake Formation データレイク管理者として IAM ユーザーまたはロールを追加するために必要です。IAM ユーザーまたはロールにも が含まれているAWSLakeFormationDataAdmin場合、アクションは失敗します。AWSLakeFormationDataAdmin AWS 管理ポリシーには、 AWS Lake Formation APIオペレーション の明示的な拒否が含まれていますPutDataLakeSetting。

AdministratorAccess AWS 管理ポリシーAWSを使用するためのフルアクセス権を持つ管理者であっても、AWSLakeFormationDataAdminポリシーによって制限できます。