为什么我在添加新的数据湖管理员PutDataLakeSettings 时会出现 Lake Formation 权限错误：lakeformation：？

如果您的IAM用户或角色包含AWSLakeFormationDataAdmin AWS 托管策略，则无法添加新的数据湖管理员。您将收到一条包含以下内容的错误：

User arn:aws:sts::111122223333:assumed-role/lakeformation-admin-user is not authorized to perform: lakeformation:PutDataLakeSettings on resource: arn:aws:lakeformation:us-east-2:111122223333:catalog:111122223333 with an explicit deny in an identity-based policy

需要使用 AWS 托管策略AdministratorAccess才能添加IAM用户或角色作为 AWS Lake Formation 数据湖管理员。如果您的IAM用户或角色也包含AWSLakeFormationDataAdmin该操作，则操作将失败。AWSLakeFormationDataAdmin AWS 托管策略包含对 La AWS ke Formation API 操作的明确拒绝。PutDataLakeSetting

即使管理员拥有AWS使用AdministratorAccessAWS托管策略的完全访问权限，也可能受到该AWSLakeFormationDataAdmin策略的限制。