Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Referensi personas Lake Formation dan izin IAM
<a name="permissions-reference"></a>

Bagian ini mencantumkan beberapa persona Lake Formation yang disarankan dan izin yang disarankan AWS Identity and Access Management (IAM) mereka. Untuk informasi tentang izin Lake Formation, lihat[Referensi izin Lake Formation](lf-permissions-reference.md).

## AWS Lake Formation persona
<a name="lf-personas"></a>

Tabel berikut mencantumkan AWS Lake Formation persona yang disarankan.


**Personas Lake Formation**  

| Persona | Deskripsi | 
| --- | --- | 
| Administrator IAM (pengguna super) | (Wajib) Pengguna yang dapat membuat pengguna dan peran IAM. Memiliki kebijakan yang AdministratorAccess AWS dikelola. Memiliki semua izin pada semua sumber daya Lake Formation. Dapat menambahkan administrator danau data. Tidak dapat memberikan izin Lake Formation jika tidak juga ditunjuk sebagai administrator danau data. | 
| Administrator danau data | (Wajib) Pengguna yang dapat mendaftarkan lokasi Amazon S3, mengakses Katalog Data, membuat database, membuat dan menjalankan alur kerja, memberikan izin Lake Formation kepada pengguna lain, dan melihat log. AWS CloudTrail Memiliki izin IAM lebih sedikit daripada administrator IAM, tetapi cukup untuk mengelola data lake. Tidak dapat menambahkan administrator danau data lainnya. | 
| Hanya baca administrator | (Opsional) Pengguna yang dapat melihat prinsipal, sumber daya Katalog Data, izin, dan AWS CloudTrail log, tanpa izin untuk melakukan pembaruan. | 
| Insinyur data | (Opsional) Pengguna yang dapat membuat database, membuat dan menjalankan crawler dan alur kerja, serta memberikan izin Lake Formation pada tabel Katalog Data yang dibuat oleh crawler dan alur kerja. Kami menyarankan Anda membuat semua pembuat database insinyur data. Untuk informasi selengkapnya, lihat [Membuat basis data](creating-database.md). | 
| Analis data | (Opsional) Pengguna yang dapat menjalankan kueri terhadap data lake menggunakan, misalnya, Amazon Athena. Hanya memiliki izin yang cukup untuk menjalankan kueri. | 
| Peran alur kerja | (Wajib) Peran yang menjalankan alur kerja atas nama pengguna. Anda menentukan peran ini saat membuat alur kerja dari cetak biru. | 

**catatan**  
Di Lake Formation, administrator data lake yang ditambahkan setelah pembuatan database dapat memberikan izin tetapi tidak secara otomatis memiliki izin akses data seperti SELECT atau DESCRIPTE. Administrator yang membuat database menerima `SUPER` izin pada database tersebut. Perilaku ini disengaja—sementara semua administrator dapat memberikan izin yang diperlukan, izin ini tidak diterapkan secara otomatis ke sumber daya yang sudah ada sebelumnya. Oleh karena itu, administrator harus secara eksplisit memberikan diri mereka akses ke database yang ada sebelum mereka diberi hak istimewa admin. 

## AWS kebijakan terkelola untuk Lake Formation
<a name="lf-managed-policies"></a>

Anda dapat memberikan izin AWS Identity and Access Management (IAM) yang diperlukan untuk bekerja AWS Lake Formation dengan menggunakan kebijakan AWS terkelola dan kebijakan inline. Kebijakan AWS terkelola berikut tersedia untuk Lake Formation.

### AWS kebijakan terkelola: AWSLake FormationDataAdmin
<a name="lf-data-admin"></a>

 [AWSLakeFormationDataAdmin](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationDataAdmin)kebijakan memberikan akses administratif ke AWS Lake Formation dan layanan terkait seperti AWS Glue untuk mengelola danau data. 

Anda dapat melampirkan `AWSLakeFormationDataAdmin` ke pengguna, grup, dan peran Anda.

**Detail izin**
+ `CloudTrail`— Memungkinkan kepala sekolah untuk melihat log. AWS CloudTrail Ini diperlukan untuk meninjau kesalahan apa pun dalam pengaturan data lake.
+ `Glue`— Memungkinkan prinsipal untuk melihat, membuat, dan memperbarui tabel metadata dan database dalam Katalog Data. Ini termasuk operasi API yang dimulai dengan`Get`,`List`,`Create`,`Update`,`Delete`, dan`Search`. Ini diperlukan untuk mengelola metadata tabel data lake.
+ `IAM`— Memungkinkan kepala sekolah untuk mengambil informasi tentang pengguna IAM, peran, dan kebijakan yang dilampirkan pada peran. Ini diperlukan agar admin data meninjau dan mencantumkan pengguna dan peran IAM untuk memberikan izin Lake Formation.
+ `Lake Formation`— Memberikan admin data lake memerlukan izin Lake Formation untuk mengelola data lake.
+ `S3`— Memungkinkan kepala sekolah untuk mengambil informasi tentang bucket Amazon S3 dan lokasinya untuk mengatur lokasi data untuk data lake.

```
"Statement": [
        {
            "Sid": "AWSLakeFormationDataAdminAllow",
            "Effect": "Allow",
            "Action": [
                "lakeformation:*",
                "cloudtrail:DescribeTrails",
                "cloudtrail:LookupEvents",
                "glue:CreateCatalog",
		"glue:UpdateCatalog",
                "glue:DeleteCatalog",
		"glue:GetCatalog",
	        "glue:GetCatalogs",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:CreateDatabase",
                "glue:UpdateDatabase",
                "glue:DeleteDatabase",
                "glue:GetConnections",
                "glue:SearchTables",
                "glue:GetTable",
                "glue:CreateTable",
                "glue:UpdateTable",
                "glue:DeleteTable",
                "glue:GetTableVersions",
                "glue:GetPartitions",
                "glue:GetTables",
                "glue:ListWorkflows",
                "glue:BatchGetWorkflows",
                "glue:DeleteWorkflow",
                "glue:GetWorkflowRuns",
                "glue:StartWorkflowRun",
                "glue:GetWorkflow",
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:GetBucketAcl",
                "iam:ListUsers",
                "iam:ListRoles",
                "iam:GetRole",
                "iam:GetRolePolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AWSLakeFormationDataAdminDeny",
            "Effect": "Deny",
            "Action": [
                "lakeformation:PutDataLakeSettings"
            ],
                "Resource": "*"
        }
    ]
}
```

**catatan**  
`AWSLakeFormationDataAdmin`Kebijakan ini tidak memberikan setiap izin yang diperlukan untuk administrator data lake. Izin tambahan diperlukan untuk membuat dan menjalankan alur kerja dan mendaftarkan lokasi dengan peran terkait layanan. `AWSServiceRoleForLakeFormationDataAccess` Untuk informasi selengkapnya, lihat [Buat administrator danau data](initial-lf-config.md#create-data-lake-admin) dan [Menggunakan peran terkait layanan untuk Lake Formation](service-linked-roles.md).

### AWS kebijakan terkelola: AWSLake FormationCrossAccountManager
<a name="lf-cross-account-manager"></a>

[AWSLakeFormationCrossAccountManager](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager)kebijakan menyediakan akses lintas akun ke AWS Glue sumber daya melalui Lake Formation, dan memberikan akses baca ke layanan lain yang diperlukan seperti AWS Organizations dan AWS RAM.

Anda dapat melampirkan `AWSLakeFormationCrossAccountManager` ke pengguna, grup, dan peran Anda.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `Glue`— Memungkinkan prinsipal untuk mengatur atau menghapus kebijakan sumber daya Katalog Data untuk kontrol akses.
+ `Organizations`— Memungkinkan kepala sekolah untuk mengambil informasi akun dan unit organisasi (OU) untuk suatu organisasi.
+ `ram:CreateResourceShare`— Memungkinkan kepala sekolah untuk membuat pembagian sumber daya.
+ `ram:UpdateResourceShare`—Memungkinkan prinsipal untuk memodifikasi beberapa properti dari pembagian sumber daya yang ditentukan.
+ `ram:DeleteResourceShare`— Memungkinkan prinsipal untuk menghapus pembagian sumber daya yang ditentukan.
+ `ram:AssociateResourceShare`— Memungkinkan prinsipal untuk menambahkan daftar prinsipal dan daftar sumber daya yang ditentukan ke pembagian sumber daya.
+ `ram:DisassociateResourceShare`— Memungkinkan prinsipal untuk menghapus prinsip atau sumber daya yang ditentukan dari berpartisipasi dalam pembagian sumber daya yang ditentukan. 
+ `ram:GetResourceShares`— Memungkinkan kepala sekolah untuk mengambil rincian tentang pembagian sumber daya yang Anda miliki atau yang dibagikan dengan Anda. 
+ `ram:RequestedResourceType`— Memungkinkan prinsipal untuk mengambil jenis sumber daya (database, tabel atau katalog).
+ `AssociateResourceSharePermission`— Memungkinkan prinsipal untuk menambah atau mengganti AWS RAM izin untuk jenis sumber daya yang disertakan dalam pembagian sumber daya. Anda dapat memiliki persis satu izin yang terkait dengan setiap jenis sumber daya dalam pembagian sumber daya.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "AllowCreateResourceShare",
            "Effect": "Allow",
            "Action": [
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringLikeIfExists": {
                    "ram:RequestedResourceType": [
                        "glue:Table",
                        "glue:Database",
                        "glue:Catalog"
                    ]
                }
            }
        },
        {
            "Sid": "AllowManageResourceShare",
            "Effect": "Allow",
            "Action": [
                "ram:UpdateResourceShare",
                "ram:DeleteResourceShare",
                "ram:AssociateResourceShare",
                "ram:DisassociateResourceShare",
                "ram:GetResourceShares"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:ResourceShareName": [
                        "LakeFormation*"
                    ]
                }
            }
        },
        {
            "Sid": "AllowManageResourceSharePermissions",
            "Effect": "Allow",
            "Action": [
                "ram:AssociateResourceSharePermission"
            ],
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "ram:PermissionArn": [
                        "arn:aws:ram::aws:permission/AWSRAMLFEnabled*"
                    ]
                }
            }
        },
        {
            "Sid": "AllowXAcctManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "glue:PutResourcePolicy",
                "glue:DeleteResourcePolicy",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "ram:Get*",
                "ram:List*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowOrganizationsPermissions",
            "Effect": "Allow",
            "Action": [
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        }
    ]
}
```

------

### AWS kebijakan terkelola: AWSGlue ConsoleFullAccess
<a name="glue-console-access-policy"></a>

[AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess)kebijakan memberikan akses penuh ke AWS Glue sumber daya ketika identitas yang dilampirkan kebijakan menggunakan. Konsol Manajemen AWS Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, maka pengguna memiliki kemampuan konsol penuh. Kebijakan ini biasanya dilampirkan ke pengguna AWS Glue konsol.

Selain itu, AWS Glue Lake Formation mengambil peran layanan `AWSGlueServiceRole` untuk memungkinkan akses ke layanan terkait, termasuk Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), dan Amazon. CloudWatch

### AWS managed policy:LakeFormationDataAccessServiceRolePolicy
<a name="lake-formation-data-access-service-role-policy"></a>

Kebijakan ini dilampirkan ke peran terkait layanan bernama `ServiceRoleForLakeFormationDataAccess` yang memungkinkan layanan melakukan tindakan pada sumber daya atas permintaan Anda. Anda tidak dapat melampirkan kebijakan ini ke identitas IAM Anda.

Kebijakan ini memungkinkan AWS layanan terintegrasi Lake Formation seperti Amazon Athena atau Amazon Redshift menggunakan peran terkait layanan untuk menemukan sumber daya Amazon S3.

Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk Lake Formation](service-linked-roles.md).

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `s3:ListAllMyBuckets`— Mengembalikan daftar semua bucket yang dimiliki oleh pengirim permintaan yang diautentikasi.

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "LakeFormationDataAccessServiceRolePolicy",
			"Effect": "Allow",
			"Action": [
				"s3:ListAllMyBuckets"
			],
			"Resource": [
				"arn:aws:s3:::*"
			]
		}
	]
}
```

------

**Lake Formation memperbarui kebijakan AWS terkelola**  
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Lake Formation sejak layanan ini mulai melacak perubahan ini.


| Ubah | Deskripsi | Date | 
| --- | --- | --- | 
| AWSLakeFormationCrossAccountManagerKebijakan yang diperbarui Lake Formation.  | Lake Formation meningkatkan [AWSLakeFormationCrossAccountManager](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager)kebijakan dengan mengganti operator StringLike kondisi dengan ArnLike operator yang memungkinkan IAM melakukan pemeriksaan format ARN. | Januari, 2025 | 
| AWSLakeFormationDataAdminKebijakan yang diperbarui Lake Formation.  | Lake Formation meningkatkan [AWSLakeFormationDataAdmin](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationDataAdmin)kebijakan dengan menambahkan AWS Glue Data Catalog CRUD berikut APIs sebagai bagian dari fitur multi-katalog. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/permissions-reference.html)Perubahan kebijakan terkelola ini adalah untuk memastikan bahwa persona administrator Lake Formation secara default memiliki izin IAM pada operasi baru ini. | Desember, 2024 | 
| AWSLakeFormationCrossAccountManagerKebijakan yang diperbarui Lake Formation.  | Lake Formation meningkatkan [AWSLakeFormationCrossAccountManager](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager)kebijakan dengan menambahkan elemen Sid ke dalam pernyataan kebijakan. | Maret, 2024 | 
| AWSLakeFormationDataAdminKebijakan yang diperbarui Lake Formation.  | Lake Formation meningkatkan [AWSLakeFormationDataAdmin](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationDataAdmin)kebijakan dengan menambahkan elemen Sid ke pernyataan kebijakan dan menghapus tindakan yang berlebihan. | Maret, 2024 | 
| LakeFormationDataAccessServiceRolePolicyKebijakan yang diperbarui Lake Formation.  | Lake Formation meningkatkan [LakeFormationDataAccessServiceRolePolicy](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/LakeFormationDataAccessServiceRolePolicy)kebijakan dengan menambahkan elemen Sid ke pernyataan kebijakan. | Februari, 2024 | 
| AWSLakeFormationCrossAccountManagerKebijakan yang diperbarui Lake Formation.  | Lake Formation meningkatkan [AWSLakeFormationCrossAccountManager](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager)kebijakan dengan menambahkan izin baru untuk mengaktifkan berbagi data lintas akun dalam mode akses hibrida. | Oktober, 2023 | 
| AWSLakeFormationCrossAccountManagerKebijakan yang diperbarui Lake Formation.  | Lake Formation menyempurnakan [AWSLakeFormationCrossAccountManager](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager)kebijakan untuk membuat hanya satu pembagian sumber daya per akun penerima saat sumber daya pertama kali dibagikan. Semua sumber daya yang dibagikan setelahnya dengan akun yang sama dilampirkan ke pembagian sumber daya yang sama. | 6 Mei 2022 | 
| Lake Formation mulai melacak perubahan. | Lake Formation mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 6 Mei 2022 | 

## Personas menyarankan izin
<a name="lf-permissions-tables"></a>

Berikut ini adalah izin yang disarankan untuk setiap persona. Administrator IAM tidak disertakan karena pengguna tersebut memiliki semua izin pada semua sumber daya.

**Topics**
+ [Izin administrator danau data](#persona-dl-admin)
+ [Baca hanya izin administrator](#persona-read-only-admin)
+ [Izin insinyur data](#persona-engineer)
+ [Izin analis data](#persona-user)
+ [Izin peran alur kerja](#persona-workflow-role)

### Izin administrator danau data
<a name="persona-dl-admin"></a>

**penting**  
Dalam kebijakan berikut, ganti *<account-id>* dengan nomor AWS akun yang valid, dan ganti *<workflow\$1role>* dengan nama peran yang memiliki izin untuk menjalankan alur kerja, seperti yang didefinisikan dalam. [Izin peran alur kerja](#persona-workflow-role)


| Jenis Kebijakan | Kebijakan | 
| --- | --- | 
| AWS kebijakan terkelola |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/permissions-reference.html) Untuk informasi tentang kebijakan AWS terkelola opsional, lihat[Buat administrator danau data](initial-lf-config.md#create-data-lake-admin).  | 
| Kebijakan sebaris (untuk membuat peran terkait layanan Lake Formation) |  <pre>{<br />    "Version": "2012-10-17",		 	 	 <br />    "Statement": [<br />        {<br />            "Effect": "Allow",<br />            "Action": "iam:CreateServiceLinkedRole",<br />            "Resource": "*",<br />            "Condition": {<br />                "StringEquals": {<br />                    "iam:AWSServiceName": "lakeformation.amazonaws.com"<br />                }<br />            }<br />        },<br />        {<br />            "Effect": "Allow",<br />            "Action": [<br />                "iam:PutRolePolicy"<br />            ],<br />            "Resource": "arn:aws:iam::<account-id>:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess"<br />        }<br />    ]<br />}<br /></pre>  | 
| (Opsional) Kebijakan sebaris (kebijakan peran sandi untuk peran alur kerja). Ini diperlukan hanya jika administrator data lake membuat dan menjalankan alur kerja. |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/permissions-reference.html)  | 
| (Opsional) Kebijakan sebaris (jika akun Anda memberikan atau menerima izin Lake Formation lintas akun). Kebijakan ini untuk menerima atau menolak undangan berbagi AWS RAM sumber daya, dan untuk memungkinkan pemberian izin lintas akun kepada organisasi. ram:EnableSharingWithAwsOrganizationdiperlukan hanya untuk administrator danau data di akun AWS Organizations manajemen. |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/permissions-reference.html)  | 

### Baca hanya izin administrator
<a name="persona-read-only-admin"></a>


| Tipe kebijakan | Kebijakan | 
| --- | --- | 
| Kebijakan inline (dasar) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/permissions-reference.html)  | 

### Izin insinyur data
<a name="persona-engineer"></a>

**penting**  
Dalam kebijakan berikut, ganti *<account-id>* dengan nomor AWS akun yang valid, dan ganti *<workflow\$1role>* dengan nama peran alur kerja.


| Jenis Kebijakan | Kebijakan | 
| --- | --- | 
| AWS kebijakan terkelola | AWSGlueConsoleFullAccess | 
| Kebijakan inline (dasar) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/permissions-reference.html)  | 
| Kebijakan inline (untuk operasi pada tabel yang diatur, termasuk operasi dalam transaksi) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/permissions-reference.html)  | 
| Kebijakan inline (untuk kontrol akses metadata menggunakan metode kontrol akses berbasis tag Lake Formation (LF-TBAC)) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/permissions-reference.html)  | 
| Kebijakan inline (kebijakan passrole untuk peran alur kerja) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/permissions-reference.html)  | 

### Izin analis data
<a name="persona-user"></a>


| Jenis Kebijakan | Kebijakan | 
| --- | --- | 
| AWS kebijakan terkelola | AmazonAthenaFullAccess | 
| Kebijakan inline (dasar) |  <pre>{<br />    "Version": "2012-10-17",		 	 	 <br />    "Statement": [<br />        {<br />            "Effect": "Allow",<br />            "Action": [<br />                "lakeformation:GetDataAccess",<br />                "glue:GetTable",<br />                "glue:GetTables",<br />                "glue:SearchTables",<br />                "glue:GetDatabase",<br />                "glue:GetDatabases",<br />                "glue:GetPartitions",<br />                "lakeformation:GetResourceLFTags",<br />                "lakeformation:ListLFTags",<br />                "lakeformation:GetLFTag",<br />                "lakeformation:SearchTablesByLFTags",<br />                "lakeformation:SearchDatabasesByLFTags"                <br />           ],<br />            "Resource": "*"<br />        }<br />    ]<br />}</pre>  | 
| (Opsional) Kebijakan inline (untuk operasi pada tabel yang diatur, termasuk operasi dalam transaksi) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/permissions-reference.html)  | 

### Izin peran alur kerja
<a name="persona-workflow-role"></a>

Peran ini memiliki izin yang diperlukan untuk menjalankan alur kerja. Anda menentukan peran dengan izin ini saat membuat alur kerja.

**penting**  
Dalam kebijakan berikut, ganti *<region>* dengan pengenal AWS Wilayah yang valid (misalnya`us-east-1`), *<account-id>* dengan nomor AWS akun yang valid, *<workflow\$1role>* dengan nama peran alur kerja, dan *<your-s3-cloudtrail-bucket>* dengan jalur Amazon S3 ke log Anda. AWS CloudTrail 


| Jenis Kebijakan | Kebijakan | 
| --- | --- | 
| AWS kebijakan terkelola | AWSGlueServiceRole  | 
| Kebijakan inline (akses data) |  <pre>{<br />    "Version": "2012-10-17",		 	 	 <br />    "Statement": [<br />        {<br />            "Sid": "Lakeformation",<br />            "Effect": "Allow",<br />            "Action": [<br />                 "lakeformation:GetDataAccess",<br />                 "lakeformation:GrantPermissions"<br />             ],<br />            "Resource": "*"<br />        }<br />    ]<br />}</pre>  | 
| Kebijakan inline (kebijakan passrole untuk peran alur kerja) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/permissions-reference.html)  | 
| Kebijakan sebaris (untuk menelan data di luar data lake, misalnya, AWS CloudTrail log) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/permissions-reference.html)  |