本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 新增 LF 標籤建立者
根據預設,資料湖管理員可以建立、更新和刪除 LF 標籤、將標籤指派給 Data Catalog 物件,以及將標籤許可授予委託人。如果您想要將標籤建立和管理操作委派給非管理員主體,資料湖管理員可以建立 LF 標籤建立者角色,並將 Lake Formation `Create LF-Tag`許可授予角色。透過可授予的`Create LF-Tag`許可,LF-Tag 建立者可以將標籤建立和維護任務委派給其他非管理主體。
若要讓資料湖管理員將 LF-Tags 指派給 Data Catalog 資源,他們必須授予自己非由他們建立的 LF-Tags 的關聯許可。
**注意**
跨帳戶許可授予只能包含 `Describe`和 `Associate`許可。您無法將 `Create LF-Tag`、`Alter`、 `Drop`和 `Grant with LFTag expressions`許可授予不同帳戶中的主體。
**Topics**
+ [建立 LF 標籤所需的 IAM 許可](#tag-creator-permissions)
+ [新增 LF 標籤建立者](#add-lf-tag-creator)
**另請參閱**
[管理 LF-Tag 值許可](TBAC-granting-tags.md)
[使用 LF-TBAC 方法授予資料湖許可](granting-catalog-perms-TBAC.md)
[Lake Formation 標籤型存取控制](tag-based-access-control.md)
## 建立 LF 標籤所需的 IAM 許可
您必須設定許可,以允許 Lake Formation 主體建立 LF 標籤。將下列陳述式新增至需要建立 LF 標籤的主體的許可政策。
**注意**
雖然資料湖管理員具有隱含 Lake Formation 許可來建立、更新和刪除 LF 標籤、將 LF 標籤指派給資源,以及將 LF 標籤授予委託人,但資料湖管理員也需要下列 IAM 許可。
如需詳細資訊,請參閱[Lake Formation 角色和 IAM 許可參考](permissions-reference.md)。
```
{
"Sid": "Transformational",
"Effect": "Allow",
"Action": [
"lakeformation:AddLFTagsToResource",
"lakeformation:RemoveLFTagsFromResource",
"lakeformation:GetResourceLFTags",
"lakeformation:ListLFTags",
"lakeformation:CreateLFTag",
"lakeformation:GetLFTag",
"lakeformation:UpdateLFTag",
"lakeformation:DeleteLFTag",
"lakeformation:SearchTablesByLFTags",
"lakeformation:SearchDatabasesByLFTags"
]
}
```
將 LF-Tags 指派給資源並將 LF-Tags 授予委託人的委託人必須具有相同的許可,但 `CreateLFTag`、 `UpdateLFTag`和 `DeleteLFTag`許可除外。
## 新增 LF 標籤建立者
LF-Tag 建立者可以建立 LF 標籤、更新標籤索引鍵和值、刪除標籤、將標籤與 Data Catalog 資源建立關聯,以及使用 LF-TBAC 方法將 Data Catalog 資源的許可授予委託人。LF-Tag 建立者也可以將這些許可授予委託人。
您可以使用 AWS Lake Formation 主控台、 API 或 AWS Command Line Interface () 來建立 LF-Tag 建立者角色AWS CLI。
------
#### [ console ]
**新增 LF 標籤建立者**
1. 開啟 Lake Formation 主控台,網址為 [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)。
以 Datalake 管理員身分登入。
1. 在導覽窗格**的許可**下,選擇 **LF 標籤和許可**。
在 **LF 標籤和許可**頁面上,選擇 **LF 標籤建立者**區段,然後選擇**新增 LF 標籤建立者**。
![\[LF-Tag creator details form with IAM 使用者 selection and permission options.\]](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/add-lf-tag-creator.png)
1. 在**新增 LF 標籤建立者**頁面上,選擇具有建立 LF 標籤所需許可的 IAM 角色或使用者。
1. 啟用`Create LF-Tag`許可核取方塊。
1. (選用) 若要讓選取的委託人將`Create LF-Tag`許可授予委託人,請選擇可授予`Create LF-Tag`許可。
1. 選擇**新增**。
------
#### [ AWS CLI ]
```
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
},
"Resource": {
"Catalog": {}
},
"Permissions": [
"CreateLFTag"
],
"PermissionsWithGrantOption": [
"CreateLFTag"
]
}
```
------
以下是 LF 標籤建立者角色可用的許可:
| 權限 | Description |
| --- | --- |
| Drop | 在 LF 標籤具有此許可的主體可以從資料湖刪除 LF 標籤。主體會取得 LF-Tag 資源所有標籤值的隱含Describe許可。 |
| Alter | 在 LF 標籤具有此許可的委託人可以從 LF 標籤新增或移除標籤值。主體會取得 LF 標籤之所有標籤值的隱含Alter許可。 |
| Describe | 在 LF-Tag 上具有此許可的委託人可以在將 LF-Tags 指派給資源或授予 LF-Tags 許可時,檢視 LF-Tag 及其值。您可以在Describe所有索引鍵值或特定值上授予 。 |
| Associate | 在 LF-Tag 具有此許可的主體可以將 LF-Tag 指派給 Data Catalog 資源。Associate 隱含授予 Describe。 |
| Grant with LF-Tag expression | 在 LF-Tag 具有此許可的主體可以使用 LF-Tag 金鑰和值授予資料目錄資源的許可。Grant with LF-Tag expression 隱含授予 Describe。 |
這些許可是可授予的。已使用授予選項授予這些許可的委託人可以將其授予其他委託人。