本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
添加 LF 标签创建者
默认情况下,数据湖管理员可以创建、更新和删除 LF 标记,将标签分配给数据目录资源,以及向主体授予标签权限。如果您希望将标签创建和管理操作委托给非管理员主体,则数据湖管理员可以创建 LF 标签创建者角色并向这些角色授予 Lake Formation Create LF-Tag 权限。通过可授予的 Create LF-Tag 权限,LF 标签创建者可以将标签创建和维护任务委托给其他非管理员主体。
注意
跨账户权限授予只能包括 Describe 和 Associate 权限。您无法向其他账户中的主体授予 Create LF-Tag、Drop、Alter 和 Grant with LFTag expressions 权限。
IAM创建 LF 标签所需的权限
您必须配置权限以允许 Lake Formation 主体创建 LF 标签。将以下语句添加到需要成为 LF 标签创建者的主体的权限策略中。
注意
尽管数据湖管理员拥有隐含的 Lake Formation 权限,可以创建、更新和删除 LF 标签、为资源分配 LF 标签以及向委托人授予 LF 标签,但数据湖管理员还需要以下权限。IAM
有关更多信息,请参阅 Lake Formation 角色和IAM权限参考。
{ "Sid": "Transformational", "Effect": "Allow", "Action": [ "lakeformation:AddLFTagsToResource", "lakeformation:RemoveLFTagsFromResource", "lakeformation:GetResourceLFTags", "lakeformation:ListLFTags", "lakeformation:CreateLFTag", "lakeformation:GetLFTag", "lakeformation:UpdateLFTag", "lakeformation:DeleteLFTag", "lakeformation:SearchTablesByLFTags", "lakeformation:SearchDatabasesByLFTags" ] }
将 LF 标签分配给资源并向主体授予 LF 标签的主体必须具有相同的权限,但 CreateLFTag、UpdateLFTag 和 DeleteLFTag 权限除外。
添加 LF 标签创建者
LF-Tag 创建者可以创建 LF 标签、更新标签键和值、删除标签、将标签与数据目录资源关联以及使用 LF-方法向委托人授予对数据目录资源的权限。TBACLF 标签创建者还可以向主体授予这些权限。
您可以使用 AWS Lake Formation 控制台、或 AWS Command Line Interface ()AWS CLI创建 LF-Tag 创建者角色。API
以下是 LF 标签创建者角色可用的权限:
| 权限 | 描述 |
|---|---|
Drop |
对 LF 标签具有此权限的主体可以从数据湖中删除 LF 标签。主体会获取对 LF 标签资源的所有标签值的隐式 Describe 权限。 |
Alter |
对 LF 标签具有此权限的主体可以在 LF 标签中添加或移除标签值。主体会获取对 LF 标签的所有标签值的隐式 Alter 权限。 |
Describe |
对 LF 标签具有此权限的主体在将 LF 标签分配给资源或授予对 LF 标签的权限时可以查看 LF 标签及其值。您可以授予对所有键值或特定值的 Describe 权限。 |
Associate |
对 LF 标签具有此权限的主体可以将 LF 标签分配给数据目录资源。授予 Associate 会隐式授予 Describe 权限。 |
Grant with LF-Tag expression |
对 LF 标签具有此权限的主体可以使用 LF 标签键和值授予对数据目录资源的权限。授予 Grant
with LF-Tag expression 会隐式授予 Describe 权限。 |
这些权限是可以授予的。已通过授予选项被授予这些权限的主体可以将这些权限授予给其他主体。
