黙示的な Lake Formation 許可
AWS Lake Formation は、データレイク管理者、データベース作成者、およびテーブル作成者に以下の黙示的な許可を付与します。
- データレイク管理者
-
-
Data Catalog 内のすべてのリソースへの完全な読み取りアクセス権があります。管理者からこのアクセス権を取り消すことはできません。
-
データレイク全体に対するデータロケーション許可があります。
-
Data Catalog 内の任意のリソースへのアクセス権を任意のプリンシパル (自分自身を含む) に付与する、またはそれらをまたは取り消すことができます。管理者からこのアクセス権を取り消すことはできません。
-
Data Catalog にデータベースを作成できます。
-
データベースを作成する許可を別のユーザーに付与できます。
注記 データレイク管理者が Amazon S3 ロケーションを登録できるのは、それを実行するための IAM 許可を持っている場合に限定されます。本ガイドで推奨されているデータレイク管理者ポリシーは、これらの許可を付与します。また、データレイク管理者には、データベースをドロップする、または他のユーザーが作成したテーブルを変更/ドロップするための黙示的な許可はありませんが、それらを実行する許可を自分自身に付与することが可能です。
データレイク管理者の詳細については、「データレイク管理者を作成する」を参照してください。
-
- データベース作成者
-
-
作成するデータベースに対するすべてのデータベース許可と、そのデータベース内に作成するテーブルに対する許可があり、そのデータベース内にテーブルを作成する許可を同じ AWS アカウント内の他のプリンシパルに付与できます。
AWSLakeFormationCrossAccountManager
AWS 管理ポリシーを持つデータベース作成者は、データベースに対する許可を他の AWS アカウントまたは組織に付与することができます。データレイク管理者は、Lake Formation コンソールまたは API を使用してデータベース作成者を指定することができます。
注記 データベース作成者に、他のユーザーがデータベース内に作成するテーブルに対する黙示的な許可はありません。
詳細については、「データベースの作成」を参照してください。
-
- テーブル作成者
-
-
作成するテーブルに対するすべての許可があります。
-
作成するすべてのテーブルに対する許可を同じ AWS アカウント内のプリンシパルに付与できます。
-
AWSLakeFormationCrossAccountManager
AWS 管理ポリシーを持っている場合は、作成するすべてのテーブルに対する許可を他の AWS アカウントまたは組織に付与することができます。 -
作成するテーブルが含まれるデータベースを表示できます。
-