Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Riferimento ai personaggi di Lake Formation e alle autorizzazioni IAM Questa sezione elenca alcuni personaggi suggeriti di Lake Formation e le relative autorizzazioni suggerite AWS Identity and Access Management (IAM). Per informazioni sulle autorizzazioni di Lake Formation, vedere[Riferimento alle autorizzazioni di Lake Formation](lf-permissions-reference.md). ## AWS Lake Formation persone La tabella seguente elenca i AWS Lake Formation personaggi suggeriti. **Personaggi di Lake Formation** | Utente | Description | | --- | --- | | Amministratore IAM (superutente) | (Obbligatorio) Utente che può creare utenti e ruoli IAM. Dispone della politica AdministratorAccess AWS gestita. Dispone di tutte le autorizzazioni su tutte le risorse di Lake Formation. Può aggiungere amministratori di data lake. Non può concedere le autorizzazioni di Lake Formation se non è stato designato anche un amministratore del data lake. | | Amministratore del data lake | (Obbligatorio) Utente in grado di registrare sedi Amazon S3, accedere al Data Catalog, creare database, creare ed eseguire flussi di lavoro, concedere autorizzazioni Lake Formation ad altri utenti e visualizzare i log. AWS CloudTrail Dispone di meno autorizzazioni IAM rispetto all'amministratore IAM, ma sufficienti per amministrare il data lake. Impossibile aggiungere altri amministratori di data lake. | | Amministratore di sola lettura | (Facoltativo) Utente che può visualizzare i principali, le risorse del Data Catalog, le autorizzazioni e AWS CloudTrail i registri, senza le autorizzazioni per effettuare aggiornamenti. | | Ingegnere dei dati | (Facoltativo) Utente che può creare database, creare ed eseguire crawler e flussi di lavoro e concedere autorizzazioni Lake Formation sulle tabelle del Data Catalog create dai crawler e dai flussi di lavoro. Ti consigliamo di nominare tutti i data engineer creatori di database. Per ulteriori informazioni, consulta [Creazione di un database](creating-database.md). | | Analista dei dati | (Facoltativo) Utente che può eseguire query sul data lake utilizzando, ad esempio,. Amazon Athena Dispone solo delle autorizzazioni sufficienti per eseguire le query. | | Ruolo del workflow | (Obbligatorio) Ruolo che esegue un flusso di lavoro per conto di un utente. Questo ruolo viene specificato quando si crea un flusso di lavoro da un blueprint. | **Nota** In Lake Formation, gli amministratori di data lake aggiunti dopo la creazione del database possono concedere autorizzazioni ma non dispongono automaticamente di autorizzazioni di accesso ai dati come SELECT o DESCRIBE. Gli amministratori che creano database ricevono le `SUPER` autorizzazioni per tali database. Questo comportamento è intenzionale: sebbene tutti gli amministratori possano concedersi le autorizzazioni necessarie, tali autorizzazioni non vengono applicate automaticamente alle risorse preesistenti. Pertanto, gli amministratori devono concedersi esplicitamente l'accesso ai database esistenti prima dell'assegnazione dei privilegi di amministratore. ## AWS politiche gestite per Lake Formation Puoi concedere le autorizzazioni AWS Identity and Access Management (IAM) necessarie per lavorare AWS Lake Formation utilizzando policy AWS gestite e policy in linea. Le seguenti politiche AWS gestite sono disponibili per Lake Formation. ### AWS politica gestita: AWSLake FormationDataAdmin [AWSLakeFormationDataAdmin](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationDataAdmin)la politica garantisce l'accesso amministrativo AWS Lake Formation ai servizi correlati, come AWS Glue la gestione dei data lake. È possibile associare la policy `AWSLakeFormationDataAdmin` a utenti, gruppi e ruoli. **Dettagli dell’autorizzazione** + `CloudTrail`— Consente ai responsabili di visualizzare AWS CloudTrail i log. Ciò è necessario per esaminare eventuali errori nella configurazione del data lake. + `Glue`— Consente ai responsabili di visualizzare, creare e aggiornare tabelle e database di metadati in Data Catalog. Ciò include le operazioni API che iniziano con`Get`,`List`,, `Create` `Update``Delete`, e. `Search` Ciò è necessario per gestire i metadati delle tabelle del data lake. + `IAM`— Consente ai responsabili di recuperare informazioni sugli utenti, i ruoli e le policy IAM associati ai ruoli. Ciò è necessario affinché l'amministratore dei dati riveda ed elenchi gli utenti e i ruoli IAM a cui concedere le autorizzazioni di Lake Formation. + `Lake Formation`— Concede agli amministratori dei data lake le autorizzazioni necessarie per Lake Formation per gestire i data lake. + `S3`— Consente ai responsabili di recuperare informazioni sui bucket Amazon S3 e sulle loro posizioni per configurare la posizione dei dati per i data lake. ``` "Statement": [ { "Sid": "AWSLakeFormationDataAdminAllow", "Effect": "Allow", "Action": [ "lakeformation:*", "cloudtrail:DescribeTrails", "cloudtrail:LookupEvents", "glue:CreateCatalog", "glue:UpdateCatalog", "glue:DeleteCatalog", "glue:GetCatalog", "glue:GetCatalogs", "glue:GetDatabase", "glue:GetDatabases", "glue:CreateDatabase", "glue:UpdateDatabase", "glue:DeleteDatabase", "glue:GetConnections", "glue:SearchTables", "glue:GetTable", "glue:CreateTable", "glue:UpdateTable", "glue:DeleteTable", "glue:GetTableVersions", "glue:GetPartitions", "glue:GetTables", "glue:ListWorkflows", "glue:BatchGetWorkflows", "glue:DeleteWorkflow", "glue:GetWorkflowRuns", "glue:StartWorkflowRun", "glue:GetWorkflow", "s3:ListBucket", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "iam:ListUsers", "iam:ListRoles", "iam:GetRole", "iam:GetRolePolicy" ], "Resource": "*" }, { "Sid": "AWSLakeFormationDataAdminDeny", "Effect": "Deny", "Action": [ "lakeformation:PutDataLakeSettings" ], "Resource": "*" } ] } ``` **Nota** La `AWSLakeFormationDataAdmin` policy non concede tutte le autorizzazioni necessarie agli amministratori dei data lake. Sono necessarie autorizzazioni aggiuntive per creare ed eseguire flussi di lavoro e registrare posizioni con il ruolo collegato al servizio. `AWSServiceRoleForLakeFormationDataAccess` Per ulteriori informazioni, consultare [Crea un amministratore del data lake](initial-lf-config.md#create-data-lake-admin) e [Utilizzo di ruoli collegati ai servizi per Lake Formation](service-linked-roles.md). ### AWS politica gestita: AWSLake FormationCrossAccountManager [AWSLakeFormationCrossAccountManager](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager)la politica fornisce l'accesso multiaccount alle AWS Glue risorse tramite Lake Formation e garantisce l'accesso in lettura ad altri servizi richiesti come AWS Organizations e AWS RAM. È possibile associare la policy `AWSLakeFormationCrossAccountManager` a utenti, gruppi e ruoli. **Dettagli dell’autorizzazione** Questa policy include le seguenti autorizzazioni: + `Glue`— Consente ai responsabili di impostare o eliminare la politica delle risorse del Data Catalog per il controllo degli accessi. + `Organizations`— Consente ai responsabili di recuperare le informazioni sull'account e sull'unità organizzativa (OU) di un'organizzazione. + `ram:CreateResourceShare`— Consente ai dirigenti di creare una condivisione di risorse. + `ram:UpdateResourceShare`— Consente ai principali di modificare alcune proprietà della condivisione di risorse specificata. + `ram:DeleteResourceShare`— Consente ai principali di eliminare la condivisione di risorse specificata. + `ram:AssociateResourceShare`— Consente ai responsabili di aggiungere l'elenco di principali e l'elenco di risorse specificati a una condivisione di risorse. + `ram:DisassociateResourceShare`— Consente ai principali di rimuovere i principali o le risorse specificati dalla partecipazione alla condivisione di risorse specificata. + `ram:GetResourceShares`— Consente ai responsabili di recuperare i dettagli sulle condivisioni di risorse che possiedi o che sono condivise con te. + `ram:RequestedResourceType`— Consente ai responsabili di recuperare il tipo di risorsa (database, tabella o catalogo). + `AssociateResourceSharePermission`— Consente ai responsabili di aggiungere o sostituire l' AWS RAM autorizzazione per un tipo di risorsa incluso in una condivisione di risorse. È possibile associare esattamente un'autorizzazione a ciascun tipo di risorsa nella condivisione di risorse. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Sid": "AllowCreateResourceShare", "Effect": "Allow", "Action": [ "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "ram:RequestedResourceType": [ "glue:Table", "glue:Database", "glue:Catalog" ] } } }, { "Sid": "AllowManageResourceShare", "Effect": "Allow", "Action": [ "ram:UpdateResourceShare", "ram:DeleteResourceShare", "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:GetResourceShares" ], "Resource": "*", "Condition": { "StringLike": { "ram:ResourceShareName": [ "LakeFormation*" ] } } }, { "Sid": "AllowManageResourceSharePermissions", "Effect": "Allow", "Action": [ "ram:AssociateResourceSharePermission" ], "Resource": "*", "Condition": { "ArnLike": { "ram:PermissionArn": [ "arn:aws:ram::aws:permission/AWSRAMLFEnabled*" ] } } }, { "Sid": "AllowXAcctManagerPermissions", "Effect": "Allow", "Action": [ "glue:PutResourcePolicy", "glue:DeleteResourcePolicy", "organizations:DescribeOrganization", "organizations:DescribeAccount", "ram:Get*", "ram:List*" ], "Resource": "*" }, { "Sid": "AllowOrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent" ], "Resource": "*" } ] } ``` ------ ### AWS politica gestita: AWSGlue ConsoleFullAccess [AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess)la politica garantisce l'accesso completo alle AWS Glue risorse quando un'identità a cui è associata la politica utilizza il Console di gestione AWS. Se si segue la convenzione per la denominazione per le risorse specificate nella policy, gli utenti hanno la piena funzionalità della console. Questo criterio è in genere associato agli utenti della AWS Glue console. Inoltre, AWS Glue Lake Formation assume il ruolo di servizio `AWSGlueServiceRole` per consentire l'accesso ai servizi correlati, tra cui Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) e Amazon. CloudWatch ### AWS managed policy:LakeFormationDataAccessServiceRolePolicy Questa policy è associata a un ruolo collegato al servizio denominato `ServiceRoleForLakeFormationDataAccess` che consente al servizio di eseguire azioni sulle risorse su richiesta dell'utente. Non puoi collegare questa policy alle tue identità IAM. Questa policy consente ai AWS servizi integrati di Lake Formation come Amazon Athena Amazon Redshift di utilizzare il ruolo collegato ai servizi per scoprire le risorse di Amazon S3. Per ulteriori informazioni, consultare [Utilizzo di ruoli collegati ai servizi per Lake Formation](service-linked-roles.md). **Dettagli dell’autorizzazione** Questa policy include la seguente autorizzazione. + `s3:ListAllMyBuckets`— Restituisce un elenco di tutti i bucket di proprietà del mittente autenticato della richiesta. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "LakeFormationDataAccessServiceRolePolicy", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": [ "arn:aws:s3:::*" ] } ] } ``` ------ **Lake Formation: aggiornamenti alle politiche AWS gestite** Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per Lake Formation da quando questo servizio ha iniziato a tracciare queste modifiche. | Modifica | Descrizione | Data | | --- | --- | --- | | AWSLakeFormationCrossAccountManagerPolitica aggiornata di Lake Formation. | Lake Formation ha migliorato la [AWSLakeFormationCrossAccountManager](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager)politica sostituendo l'operatore delle StringLike condizioni con l'ArnLikeoperatore che consente a IAM di eseguire il controllo del formato ARN. | gennaio 2025 | | AWSLakeFormationDataAdminPolitica aggiornata di Lake Formation. | Lake Formation ha migliorato la [AWSLakeFormationDataAdmin](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationDataAdmin)politica aggiungendo il seguente AWS Glue Data Catalog CRUD APIs come parte della funzionalità multicatalogo. [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/permissions-reference.html)Questa modifica gestita delle politiche serve a garantire che l'amministratore di Lake Formation disponga per impostazione predefinita dell'autorizzazione IAM per queste nuove operazioni. | dicembre 2024 | | AWSLakeFormationCrossAccountManagerPolitica aggiornata di Lake Formation. | Lake Formation ha migliorato la [AWSLakeFormationCrossAccountManager](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager)politica aggiungendo elementi Sid alla dichiarazione politica. | marzo 2024 | | AWSLakeFormationDataAdminPolitica aggiornata di Lake Formation. | Lake Formation ha migliorato la [AWSLakeFormationDataAdmin](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationDataAdmin)politica aggiungendo un elemento Sid alla dichiarazione politica e rimuovendo un'azione ridondante. | marzo 2024 | | LakeFormationDataAccessServiceRolePolicyPolitica aggiornata di Lake Formation. | Lake Formation ha migliorato la [LakeFormationDataAccessServiceRolePolicy](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/LakeFormationDataAccessServiceRolePolicy)politica aggiungendo un elemento Sid alla dichiarazione politica. | febbraio 2024 | | AWSLakeFormationCrossAccountManagerPolitica aggiornata di Lake Formation. | Lake Formation ha migliorato la [AWSLakeFormationCrossAccountManager](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager)politica aggiungendo una nuova autorizzazione per abilitare la condivisione dei dati tra account in modalità di accesso ibrido. | ottobre 2023 | | AWSLakeFormationCrossAccountManagerPolitica aggiornata di Lake Formation. | Lake Formation ha migliorato la [AWSLakeFormationCrossAccountManager](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager)politica per creare una sola condivisione di risorse per account destinatario quando la risorsa viene condivisa per la prima volta. Tutte le risorse condivise successivamente con lo stesso account vengono allegate alla stessa condivisione di risorse. | 6 maggio 2022 | | Lake Formation ha iniziato a tracciare le modifiche. | Lake Formation ha iniziato a tracciare le modifiche per le sue politiche AWS gestite. | 6 maggio 2022 | ## Autorizzazioni suggerite da Personas Di seguito sono riportate le autorizzazioni suggerite per ogni persona. L'amministratore IAM non è incluso perché quell'utente dispone di tutte le autorizzazioni su tutte le risorse. **Topics** + [Autorizzazioni di amministratore di Data Lake](#persona-dl-admin) + [Autorizzazioni di amministratore di sola lettura](#persona-read-only-admin) + [Autorizzazioni del tecnico dei dati](#persona-engineer) + [Autorizzazioni per analisti di dati](#persona-user) + [Autorizzazioni relative ai ruoli del workflow](#persona-workflow-role) ### Autorizzazioni di amministratore di Data Lake **Importante** Nei seguenti criteri, sostituiscili {{}} con un numero di AWS account valido e sostituiscili {{}} con il nome di un ruolo che dispone delle autorizzazioni per eseguire un flusso di lavoro, come definito in. [Autorizzazioni relative ai ruoli del workflow](#persona-workflow-role) | Tipo di policy | Policy | | --- | --- | | AWS politiche gestite | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/permissions-reference.html)Per informazioni sulle politiche AWS gestite opzionali, vedere. [Crea un amministratore del data lake](initial-lf-config.md#create-data-lake-admin) | | Politica in linea (per la creazione del ruolo collegato ai servizi di Lake Formation) | 
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "lakeformation.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::{{}}:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess"
        }
    ]
}
| | (Facoltativo) Politica in linea (politica passrole per il ruolo del flusso di lavoro). Questa operazione è necessaria solo se l'amministratore del data lake crea ed esegue flussi di lavoro. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/permissions-reference.html) | | (Facoltativo) Politica in linea (se il tuo account concede o riceve autorizzazioni Lake Formation per più account). Questa politica serve ad accettare o rifiutare gli inviti alla condivisione di AWS RAM risorse e a consentire la concessione di autorizzazioni per più account alle organizzazioni. ram:EnableSharingWithAwsOrganizationè richiesto solo per gli amministratori del data lake presenti nell'account di gestione. AWS Organizations | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/permissions-reference.html) | ### Autorizzazioni di amministratore di sola lettura | Tipo di policy | Policy | | --- | --- | | Politica in linea (di base) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/permissions-reference.html) | ### Autorizzazioni del tecnico dei dati **Importante** Nelle seguenti politiche, sostituiscilo {{}} con un numero di AWS account valido e sostituiscilo {{}} con il nome del ruolo del flusso di lavoro. | Tipo di policy | Policy | | --- | --- | | AWS politica gestita | AWSGlueConsoleFullAccess | | politica in linea (di base) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/permissions-reference.html) | | Politica in linea (per le operazioni su tabelle gestite, incluse le operazioni all'interno delle transazioni) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/permissions-reference.html) | | Policy in linea (per il controllo dell'accesso ai metadati utilizzando il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC)) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/permissions-reference.html) | | Politica in linea (politica passrole per il ruolo del flusso di lavoro) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/permissions-reference.html) | ### Autorizzazioni per analisti di dati | Tipo di policy | Policy | | --- | --- | | AWS politica gestita | AmazonAthenaFullAccess | | politica in linea (di base) | 
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess",
                "glue:GetTable",
                "glue:GetTables",
                "glue:SearchTables",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetPartitions",
                "lakeformation:GetResourceLFTags",
                "lakeformation:ListLFTags",
                "lakeformation:GetLFTag",
                "lakeformation:SearchTablesByLFTags",
                "lakeformation:SearchDatabasesByLFTags"                
           ],
            "Resource": "*"
        }
    ]
}
| | (Facoltativo) Politica in linea (per le operazioni su tabelle gestite, incluse le operazioni all'interno delle transazioni) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/permissions-reference.html) | ### Autorizzazioni relative ai ruoli del workflow Questo ruolo dispone delle autorizzazioni necessarie per eseguire un flusso di lavoro. Si specifica un ruolo con queste autorizzazioni quando si crea un flusso di lavoro. **Importante** Nelle seguenti politiche, sostituiscilo {{}} con un identificatore di AWS regione valido (ad esempio`us-east-1`), {{}} con un numero di AWS account valido, {{}} con il nome del ruolo del flusso di lavoro e {{}} con il percorso Amazon S3 verso AWS CloudTrail i log. | Tipo di policy | Policy | | --- | --- | | AWS politica gestita | AWSGlueServiceRole | | policy in linea (accesso ai dati) | 
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Lakeformation",
            "Effect": "Allow",
            "Action": [
                 "lakeformation:GetDataAccess",
                 "lakeformation:GrantPermissions"
             ],
            "Resource": "*"
        }
    ]
}
| | Politica in linea (politica passrole per il ruolo del flusso di lavoro) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/permissions-reference.html) | | Policy in linea (per l'acquisizione di dati all'esterno del data lake, ad esempio log) AWS CloudTrail | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/permissions-reference.html) |