授予或撤銷 Lake Formation 許可所需的 IAM 許可 - AWS Lake Formation

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授予或撤銷 Lake Formation 許可所需的 IAM 許可

所有主體 (包括資料湖管理員) 都需要下列 AWS Identity and Access Management (IAM) 許可,才能使用 Lake Formation API 或撤銷「資 AWS Lake Formation 料目錄」權限或資料位置權限: AWS CLI

  • lakeformation:GrantPermissions

  • lakeformation:BatchGrantPermissions

  • lakeformation:RevokePermissions

  • lakeformation:BatchRevokePermissions

  • glue:GetTableglue:GetDatabase對於您正在使用指定資源方法授予權限的表或數據庫。

注意

資料湖管理員具有隱含的湖泊形成權限,可授予和撤銷 Lake Formation 權限。但是他們仍然需要 Lake Formation 授予的 IAM 許可並撤銷 API 操作。

具有AWSLakeFormationDataAdmin AWS 受管政策的 IAM 角色無法新增新的資料湖管理員,因為此政策包含 Lake Formation API 作業的明確拒絕PutDataLakeSetting

對於非資料湖管理員且想要使用 Lake Formation 主控台授與或撤銷權限的主體,建議使用下列 IAM 政策。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:ListPermissions",
                "lakeformation:GrantPermissions",
                "lakeformation:BatchGrantPermissions",
                "lakeformation:RevokePermissions",
                "lakeformation:BatchRevokePermissions",
                "glue:GetDatabases",
                "glue:SearchTables",
                "glue:GetTables",
                "glue:GetDatabase",
                "glue:GetTable",
                "iam:ListUsers",
                "iam:ListRoles",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "sso:DescribeInstance"
            ],
            "Resource": "*"
        }
    ]
}

此原則中的所有glue:iam:權限都可在 AWS 受管理的原則中使用AWSGlueConsoleFullAccess

若要使用以 Lake Formation 標籤為基礎的存取控制 (LF-TBAC) 授予權限,主體需要其他 IAM 許可。如需詳細資訊,請參閱 基於 Lake Formation 標籤的訪問控制最佳實踐和考量Lake Formation 角色和 IAM 許可參考

跨帳戶 許可

想要使用具名資源方法授與跨帳戶 Lake Formation 權限的使用者,也必須具有AWSLakeFormationCrossAccountManager AWS 受管理策略中的權限。

資料湖管理員需要這些相同的權限來授與跨帳戶權限,再加上 AWS Resource Access Manager (AWS RAM) 權限才能啟用授與組織權限。如需詳細資訊,請參閱 資料湖管理員權限

管理使用者

具有管理權限的主體 (例如,具有AdministratorAccess AWS 受管理的原則) 具有授與 Lake Formation 權限並建立資料湖管理員的權限。若要拒絕使用者或角色存取 Lake Formation 管理員作業,請在其原則中附加或新增管理員 API 作業的Deny陳述式。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "lakeformation:GetDataLakeSettings",
                "lakeformation:PutDataLakeSettings"
            ],
            "Effect": "Deny",
            "Resource": [
                "*"
            ]
        }
    ]
}
重要

若要防止使用者透過擷取、轉換和載入 (ETL) 指令碼將自己新增為系統管理員,請確定拒絕所有非系統管理員使用者和角色存取這些 API 作業。AWSLakeFormationDataAdmin AWS 受管理的政策包含 Lake Formation API 作業的明確拒絕,可防止PutDataLakeSetting使用者新增新的資料湖管理員。