本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 隐式 Lake Formation 权限 AWS Lake Formation 向数据湖管理员、数据库创建者和表创建者授予以下隐式权限。 **数据湖管理员** + 对数据目录中的所有资源具有 `Describe` 访问权限,但从另一个账户直接共享到其他主体的资源除外。管理员无法撤销此访问权限。 + 在数据湖中的任何位置都具有数据位置权限。 + 可以向任何主体(包括自身)授予或撤销对数据目录中任何资源的访问权限。管理员无法撤销此访问权限。 + 可以在数据目录中创建数据库。 + 可以向其他用户授予创建数据库的权限。 数据湖管理员只有在具有 IAM 权限的情况下才能注册 Amazon S3 位置。本指南中建议的数据湖管理员策略可以授予这些权限。此外,数据湖管理员没有删除他人创建的数据库或 alter/drop 表的隐式权限。但是,他们可以授予自己执行此操作的权限。 有关数据湖管理员的更多信息,请参阅[创建数据湖管理员](initial-lf-config.md#create-data-lake-admin)。 **表创建者** + 拥有他们创建的目录的所有目录权限,拥有他们在目录中创建的数据库和表的权限,并且可以向同一 AWS 账户中的其他委托人授予在目录中创建数据库和表的权限。同时拥有`AWSLakeFormationCrossAccountManager` AWS 托管策略的目录创建者可以向其他 AWS 账户或组织授予对目录的权限。 数据湖管理员可以使用 Lake Formation 控制台或 API 来指定目录创建者。 **注意** 目录创建者对其他人在目录中创建的数据库和表不具有隐式权限。 有关创建目录的更多信息,请参阅[将您的数据带入 AWS Glue Data Catalog](bring-your-data-overview.md)。 **数据库创建者** + 拥有他们创建的数据库的所有数据库权限,拥有他们在数据库中创建的表的权限,并且可以向同一 AWS 账户中的其他委托人授予在数据库中创建表的权限。同时拥有`AWSLakeFormationCrossAccountManager` AWS 托管策略的数据库创建者可以向其他 AWS 账户或组织授予数据库权限。 数据湖管理员可以使用 Lake Formation 控制台或 API 来指定数据库创建者。 **注意** 数据库创建者对其他人在数据库中创建的表不具有隐式权限。 有关更多信息,请参阅 [创建数据库](creating-database.md)。 **表创建者** + 具有对自己创建的表的所有权限。 + 可以向同一 AWS 账户中的主体授予对他们创建的所有表的权限。 + 如果其他 AWS 账户或组织拥有`AWSLakeFormationCrossAccountManager` AWS 托管策略,则可以将他们创建的所有表的权限授予他们。 + 可以查看包含自己创建的表的数据库。