本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Security Lake 中创建具有查询权限的订阅者的先决条件
<a name="prereqs-query-subscriber"></a>

您必须实现以下先决条件才能在 Security Lake 中创建具有数据访问权限的订阅用户。

## 验证权限
<a name="add-query-subscriber-permissions"></a>

在创建具有查询访问权限的订阅用户之前，请确认您有权执行下列操作。

要验证您的权限，请使用 IAM 查看附加到 IAM 身份的 IAM 策略。然后，将这些策略中的信息与以下操作列表（您必须有权执行这些操作才能创建具有查询访问权限的订阅用户）进行比较。
+ `glue:PutResourcePolicy`
+ `glue:DeleteResourcePolicy`
+ `iam:CreateRole`
+ `iam:DeleteRolePolicy`
+ `iam:GetRole`
+ `iam:PutRolePolicy`
+ `lakeformation:GrantPermissions`
+ `lakeformation:ListPermissions`
+ `lakeformation:RegisterResource`
+ `lakeformation:RevokePermissions`
+ `ram:GetResourceShareAssociations`
+ `ram:GetResourceShares`
+ `ram:UpdateResourceShare`

**重要**  
验证权限后：  
如果您打算使用 Security Lake 控制台添加订阅用户，可以跳过下一步，继续执行[授予 Lake Formation 管理员权限](#permissions-lf-admin)。Security Lake 会为您创建所有必要的 IAM 角色或使用现有角色。
如果您准备使用 Security Lake API 或 CLI 添加具有查询访问权限的订阅用户，请继续执行下一步，创建 IAM 角色来查询 Security Lake 数据。

## 创建 IAM 角色以查询 Security Lake 数据（ AWS CLI仅限 API 和步骤）
<a name="iam-role-query-subscriber"></a>

在使用 Security Lake API 或 AWS CLI 向订阅者授予查询访问权限时，您需要创建一个名为的角色`AmazonSecurityLakeMetaStoreManager`。Security Lake 使用此角色注册 AWS Glue 分区和更新 AWS Glue 表。您可能已经在[创建必要的 IAM 角色](getting-started.html#prerequisite-iam-roles)时创建了此角色。

## 授予 Lake Formation 管理员权限
<a name="permissions-lf-admin"></a>

您还需要向用于访问 Security Lake 控制台和添加订阅用户的 IAM 角色添加 Lake Formation 管理员权限。

您可以按照以下步骤为您的角色授予 Lake Formation 管理员权限：

1. 打开 Lake Formation 控制台，网址为[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)。

1. 以管理用户的身份登录。

1. 如果显示**欢迎使用 Lake Formation** 窗口，请选择您在步骤 1 中创建或选择的用户，然后选择“开始”。

1. 如果没有看到**欢迎使用 Lake Formation** 窗口，请执行以下步骤来配置 Lake Formation 管理员。

   1. 在导航窗格的**权限**下，选择**管理角色和任务**。在**数据湖管理员**部分，选择**选择管理员**。

   1. 在**管理数据湖管理员**对话框中，对于 IAM 用户和角色，选择访问 Security Lake 控制台时使用的管理员角色，然后选择**保存**。

有关更改数据湖管理员权限的更多信息，请参阅 *AWS Lake Formation 开发人员指南*中的[创建数据湖管理员](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html#create-data-lake-admin)。

IAM 角色必须拥有对您想要向订阅用户授予访问权限的数据库和表的 `SELECT` 权限。有关如何执行此操作的说明，请参阅 *AWS Lake Formation 开发人员指南*中的[使用命名资源方法授予数据目录权限](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-cat-perms-named-resource.html)。