Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Izin IAM diperlukan untuk memberikan atau mencabut izin Lake Formation Semua kepala sekolah, termasuk administrator data lake, memerlukan izin AWS Identity and Access Management (IAM) berikut untuk memberikan atau mencabut izin Katalog AWS Lake Formation Data atau izin lokasi data dengan Lake Formation API atau: AWS CLI + `lakeformation:GrantPermissions` + `lakeformation:BatchGrantPermissions` + `lakeformation:RevokePermissions` + `lakeformation:BatchRevokePermissions` + `glue:GetTable`,`glue:GetDatabase`, atau `glue:GetCatalog` untuk tabel, database, atau katalog yang Anda berikan izin menggunakan metode sumber daya bernama. **catatan** Administrator danau data memiliki izin Lake Formation implisit untuk memberikan dan mencabut izin Lake Formation. Tetapi mereka masih membutuhkan izin IAM pada hibah Lake Formation dan mencabut operasi API. Peran IAM dengan kebijakan `AWSLakeFormationDataAdmin` AWS terkelola tidak dapat menambahkan administrator data lake baru karena kebijakan ini berisi penolakan eksplisit untuk operasi Lake Formation API,. `PutDataLakeSetting` Kebijakan IAM berikut direkomendasikan untuk prinsipal yang bukan administrator data lake dan yang ingin memberikan atau mencabut izin menggunakan konsol Lake Formation. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:ListPermissions", "lakeformation:GrantPermissions", "lakeformation:BatchGrantPermissions", "lakeformation:RevokePermissions", "lakeformation:BatchRevokePermissions", "glue:GetCatalogs", "glue:GetDatabases", "glue:SearchTables", "glue:GetTables", "glue:GetCatalog", "glue:GetDatabase", "glue:GetTable", "iam:ListUsers", "iam:ListRoles", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso:DescribeInstance" ], "Resource": "*" } ] } ``` ------ Semua izin `glue:` dan `iam:` izin dalam kebijakan ini tersedia dalam kebijakan AWS `AWSGlueConsoleFullAccess` terkelola. Untuk memberikan izin dengan menggunakan kontrol akses berbasis tag Lake Formation (LF-TBAC), kepala sekolah memerlukan izin IAM tambahan. Untuk informasi selengkapnya, lihat [Praktik dan pertimbangan terbaik kontrol akses berbasis tag Lake Formation](lf-tag-considerations.md) dan [Referensi personas Lake Formation dan izin IAM](permissions-reference.md). **Izin lintas akun** Pengguna yang ingin memberikan izin Lake Formation lintas akun dengan menggunakan metode sumber daya bernama juga harus memiliki izin dalam kebijakan `AWSLakeFormationCrossAccountManager` AWS terkelola. Administrator data lake memerlukan izin yang sama untuk memberikan izin lintas akun, ditambah izin AWS Resource Access Manager (AWS RAM) untuk mengaktifkan pemberian izin kepada organisasi. Untuk informasi selengkapnya, lihat [Izin administrator danau data](permissions-reference.md#persona-dl-admin). **Pengguna administratif** Kepala sekolah dengan izin administratif—misalnya, dengan kebijakan `AdministratorAccess` AWS terkelola—memiliki izin untuk memberikan izin Lake Formation dan membuat administrator data lake. Untuk menolak akses pengguna atau peran ke operasi administrator Lake Formation, lampirkan atau tambahkan `Deny` pernyataan kebijakannya untuk operasi API administrator. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "lakeformation:GetDataLakeSettings", "lakeformation:PutDataLakeSettings" ], "Effect": "Deny", "Resource": [ "*" ] } ] } ``` ------ **penting** Untuk mencegah pengguna menambahkan diri mereka sebagai administrator dengan skrip ekstrak, transformasi, dan muat (ETL), pastikan bahwa semua pengguna dan peran non-administrator ditolak akses ke operasi API ini. Kebijakan `AWSLakeFormationDataAdmin` AWS terkelola berisi penolakan eksplisit untuk operasi Lake Formation API, `PutDataLakeSetting` yang mencegah pengguna menambahkan administrator data lake baru.