As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Permissões do IAM necessárias para conceder ou revogar as permissões do Lake Formation
Todos os diretores, incluindo o administrador do data lake, precisam das seguintes permissões AWS Identity and Access Management (IAM) para conceder ou revogar as permissões do catálogo de AWS Lake Formation dados ou as permissões de localização de dados com a API Lake Formation ou com: AWS CLI
-
lakeformation:GrantPermissions -
lakeformation:BatchGrantPermissions -
lakeformation:RevokePermissions -
lakeformation:BatchRevokePermissions -
glue:GetTableouglue:GetDatabasepara uma tabela ou um banco de dados para o qual você está concedendo permissões com o método de recurso nomeado.
nota
Os administradores do data lake possuem permissões implícitas do Lake Formation para conceder e revogar permissões do Lake Formation. Mas eles ainda precisam das permissões do IAM nas operações de concessão e revogação da API do Lake Formation.
As funções do IAM com política AWSLakeFormationDataAdmin AWS gerenciada não podem adicionar novos administradores de data lake porque essa política contém uma negação explícita para a operação da API Lake Formation,. PutDataLakeSetting
A política do IAM a seguir é recomendada para entidades principais que não são administradores de data lake e que desejam conceder ou revogar permissões usando o console do Lake Formation.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:ListPermissions", "lakeformation:GrantPermissions", "lakeformation:BatchGrantPermissions", "lakeformation:RevokePermissions", "lakeformation:BatchRevokePermissions", "glue:GetDatabases", "glue:SearchTables", "glue:GetTables", "glue:GetDatabase", "glue:GetTable", "iam:ListUsers", "iam:ListRoles", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso:DescribeInstance" ], "Resource": "*" } ] }
Todas glue: as iam: permissões desta política estão disponíveis na política AWS gerenciadaAWSGlueConsoleFullAccess.
Para conceder permissões usando o controle de acesso baseado em tags do Lake Formation (LF-TBAC), as entidades principais precisam de permissões adicionais do IAM. Para obter mais informações, consulte Considerações e práticas recomendadas de controle de acesso com base em tags do Lake Formation e Referência de personas e permissões do IAM do Lake Formation.
Permissões do entre contas
Os usuários que desejam conceder permissões entre contas do Lake Formation usando o método de recurso nomeado também devem ter as permissões na política AWSLakeFormationCrossAccountManager AWS gerenciada.
Os administradores do Data Lake precisam dessas mesmas permissões para conceder permissões entre contas, além da permissão AWS Resource Access Manager (AWS RAM) para permitir a concessão de permissões às organizações. Para ter mais informações, consulte Permissões de administrador do data lake.
O usuário administrador
Um diretor com permissões administrativas — por exemplo, com a política AdministratorAccess AWS gerenciada — tem permissões para conceder permissões do Lake Formation e criar administradores de data lake. Para negar a um usuário ou função o acesso às operações de administrador do Lake Formation, anexe ou adicione à política uma declaração Deny para as operações da API do administrador.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lakeformation:GetDataLakeSettings", "lakeformation:PutDataLakeSettings" ], "Effect": "Deny", "Resource": [ "*" ] } ] }
Importante
Para evitar que os usuários se adicionem como administradores com um script de extração, transformação e carregamento (ETL), certifique-se de que todos os usuários e funções não administradores tenham acesso negado a essas operações de API. A política AWSLakeFormationDataAdmin AWS
gerenciada contém uma negação explícita da operação da API Lake Formation, PutDataLakeSetting que impede que os usuários adicionem novos administradores de data lake.
