As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Referência de personas e permissões do IAM do Lake Formation Esta seção lista algumas personas sugeridas de Lake Formation e suas permissões do AWS Identity and Access Management (IAM) sugeridas. Para obter informações sobre as permissões do Lake Formation, consulte [Referência de permissões do Lake Formation](lf-permissions-reference.md). ## AWS Lake Formation personas A tabela a seguir lista as AWS Lake Formation personas sugeridas. **Personas do Lake Formation** | Pessoa | Description | | --- | --- | | Administrador do IAM (superusuário) | (Obrigatório) Usuário que pode criar usuários e perfis do IAM. Tem a política AdministratorAccess AWS gerenciada. Tem todas as permissões em todos os recursos do Lake Formation. Pode adicionar administradores de data lake. Não é possível conceder permissões do Lake Formation se também não for designado como administrador do data lake. | | Administrador do data lake | (Obrigatório) Usuário que pode registrar locais do Amazon S3, acessar o catálogo de dados, criar bancos de dados, criar e executar fluxos de trabalho, conceder permissões do Lake Formation a outros usuários e visualizar registros. AWS CloudTrail Tem menos permissões do IAM do que o administrador do IAM, mas o suficiente para administrar o data lake. Não é possível adicionar outros administradores de data lake. | | Administrador somente para leitura | (Opcional) Usuário que pode visualizar as entidades principais, os recursos, as permissões e os logs AWS CloudTrail do catálogo de dados, sem a permissão para fazer atualizações. | | Engenheiro de dados | (Opcional) Usuário que pode criar bancos de dados, criar e executar crawlers e fluxos de trabalho e conceder permissões do Lake Formation nas tabelas do catálogo de dados que os crawlers e fluxos de trabalho criam. Recomendamos tornar todos os engenheiros de dados criadores de bancos de dados. Para obter mais informações, consulte [Criação de um banco de dados](creating-database.md). | | Analista de dados | (Opcional) Usuário que pode executar consultas no data lake usando, por exemplo, Amazon Athena. Tem permissões suficientes apenas para executar consultas. | | Função do fluxo de trabalho | (Obrigatório) Função que executa um fluxo de trabalho em nome de um usuário. Você especifica esse perfil ao criar um fluxo de trabalho a partir de um esquema. | **nota** No Lake Formation, os administradores de data lake adicionados após a criação do banco de dados podem conceder permissões, mas não têm automaticamente permissões de acesso aos dados, como SELECT ou DESCRIBE. Os administradores que criam bancos de dados recebem permissões `SUPER` nesses bancos de dados. Esse comportamento é intencional. Embora todos os administradores possam conceder a si mesmos as permissões necessárias, essas permissões não são aplicadas automaticamente aos recursos preexistentes. Portanto, os administradores devem conceder explicitamente a si mesmos acesso aos bancos de dados que existiam antes de receberem privilégios de administrador. ## AWS políticas gerenciadas para Lake Formation Você pode conceder as permissões AWS Identity and Access Management (IAM) necessárias para trabalhar AWS Lake Formation usando políticas AWS gerenciadas e políticas em linha. As seguintes políticas AWS gerenciadas estão disponíveis para Lake Formation. ### AWS política gerenciada: AWSLake FormationDataAdmin [AWSLakeFormationDataAdmin](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationDataAdmin)a política concede acesso administrativo AWS Lake Formation e serviços relacionados, como AWS Glue o gerenciamento de lagos de dados. Você pode anexar `AWSLakeFormationDataAdmin` aos seus usuários, grupos e funções. **Detalhes da permissão** + `CloudTrail`— Permite que os diretores visualizem os AWS CloudTrail registros. Isso é necessário para analisar quaisquer erros na configuração do data lake. + `Glue` – Permite que as entidades principais visualizem, criem e atualizem tabelas de metadados e bancos de dados no catálogo de dados. Isso inclui operações de API que começam com `Get`, `List`, `Create`, `Update`, `Delete` e `Search`. Isso é necessário para gerenciar os metadados das tabelas do data lake. + `IAM` – Permite que as entidades principais recuperem informações sobre usuários, perfis e políticas do IAM vinculadas às funções. Isso é necessário para que o administrador de dados revise e liste os usuários e perfis do IAM para conceder permissões ao Lake Formation. + `Lake Formation` – Concede aos administradores do data lake as permissões necessárias do Lake Formation para gerenciar os data lakes. + `S3` – Permite que as entidades principais recuperem informações sobre os buckets do Amazon S3 e suas localizações para configurar a localização dos dados para os data lakes. ``` "Statement": [ { "Sid": "AWSLakeFormationDataAdminAllow", "Effect": "Allow", "Action": [ "lakeformation:*", "cloudtrail:DescribeTrails", "cloudtrail:LookupEvents", "glue:CreateCatalog", "glue:UpdateCatalog", "glue:DeleteCatalog", "glue:GetCatalog", "glue:GetCatalogs", "glue:GetDatabase", "glue:GetDatabases", "glue:CreateDatabase", "glue:UpdateDatabase", "glue:DeleteDatabase", "glue:GetConnections", "glue:SearchTables", "glue:GetTable", "glue:CreateTable", "glue:UpdateTable", "glue:DeleteTable", "glue:GetTableVersions", "glue:GetPartitions", "glue:GetTables", "glue:ListWorkflows", "glue:BatchGetWorkflows", "glue:DeleteWorkflow", "glue:GetWorkflowRuns", "glue:StartWorkflowRun", "glue:GetWorkflow", "s3:ListBucket", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "iam:ListUsers", "iam:ListRoles", "iam:GetRole", "iam:GetRolePolicy" ], "Resource": "*" }, { "Sid": "AWSLakeFormationDataAdminDeny", "Effect": "Deny", "Action": [ "lakeformation:PutDataLakeSettings" ], "Resource": "*" } ] } ``` **nota** A política `AWSLakeFormationDataAdmin` não concede todas as permissões necessárias para administradores de data lake. Permissões adicionais são necessárias para criar e executar fluxos de trabalho e registrar locais com a função `AWSServiceRoleForLakeFormationDataAccess` vinculada ao serviço. Para obter mais informações, consulte [Crie um administrador de data lake](initial-lf-config.md#create-data-lake-admin) e [Usar perfis vinculados ao serviço para o Lake Formation](service-linked-roles.md). ### AWS política gerenciada: AWSLake FormationCrossAccountManager [AWSLakeFormationCrossAccountManager](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager)a política fornece acesso entre contas a AWS Glue recursos por meio do Lake Formation e concede acesso de leitura a outros serviços necessários, como AWS Organizations AWS RAM e. Você pode anexar `AWSLakeFormationCrossAccountManager` aos seus usuários, grupos e funções. **Detalhes da permissão** Esta política inclui as seguintes permissões. + `Glue` – Permite que as entidades principais definam ou excluam a política de recursos do catálogo de dados para controle de acesso. + `Organizations` – Permite que as entidades principais recuperem as informações da conta e da unidade organizacional (OU) de uma organização. + `ram:CreateResourceShare` – Permite que as entidades principais criem um compartilhamento de recursos. + `ram:UpdateResourceShare` – Permite que as entidades principais modifiquem algumas propriedades do compartilhamento de recursos especificado. + `ram:DeleteResourceShare` – Permite que as entidades principais excluam o compartilhamento de recursos especificado. + `ram:AssociateResourceShare` – Permite que as entidades principais adicionem a lista especificada de entidades principais e a lista de recursos a um compartilhamento de recursos. + `ram:DisassociateResourceShare` – Permite que as entidades principais removam as entidades principais ou recursos especificados da participação no compartilhamento de recursos especificado. + `ram:GetResourceShares` – Permite que as entidades principais recuperem detalhes sobre os compartilhamentos de recursos que você possui ou que são compartilhados com você. + `ram:RequestedResourceType` – Permite que as entidades principais recuperem o tipo de recurso (banco de dados, tabela ou catálogo). + `AssociateResourceSharePermission`— Permite que os diretores adicionem ou substituam a AWS RAM permissão de um tipo de recurso incluído em um compartilhamento de recursos. Você pode ter exatamente uma permissão associada a cada tipo de recurso no compartilhamento de recursos. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Sid": "AllowCreateResourceShare", "Effect": "Allow", "Action": [ "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "ram:RequestedResourceType": [ "glue:Table", "glue:Database", "glue:Catalog" ] } } }, { "Sid": "AllowManageResourceShare", "Effect": "Allow", "Action": [ "ram:UpdateResourceShare", "ram:DeleteResourceShare", "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:GetResourceShares" ], "Resource": "*", "Condition": { "StringLike": { "ram:ResourceShareName": [ "LakeFormation*" ] } } }, { "Sid": "AllowManageResourceSharePermissions", "Effect": "Allow", "Action": [ "ram:AssociateResourceSharePermission" ], "Resource": "*", "Condition": { "ArnLike": { "ram:PermissionArn": [ "arn:aws:ram::aws:permission/AWSRAMLFEnabled*" ] } } }, { "Sid": "AllowXAcctManagerPermissions", "Effect": "Allow", "Action": [ "glue:PutResourcePolicy", "glue:DeleteResourcePolicy", "organizations:DescribeOrganization", "organizations:DescribeAccount", "ram:Get*", "ram:List*" ], "Resource": "*" }, { "Sid": "AllowOrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent" ], "Resource": "*" } ] } ``` ------ ### AWS política gerenciada: AWSGlue ConsoleFullAccess [AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess)a política concede acesso total aos AWS Glue recursos quando uma identidade à qual a política está anexada usa Console de gerenciamento da AWS o. Se você seguir a convenção de nomenclatura para os recursos especificados nesta política, os usuários poderão acessar todos os recursos do console. Essa política geralmente é anexada aos usuários do AWS Glue console. Além disso, AWS Glue a Lake Formation assume a função de serviço `AWSGlueServiceRole` para permitir o acesso a serviços relacionados, incluindo Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) e Amazon. CloudWatch ### AWS managed policy:LakeFormationDataAccessServiceRolePolicy Essa política é anexada a um perfil vinculado ao serviço chamado `ServiceRoleForLakeFormationDataAccess`, o qual possibilita que o serviço execute ações em recursos quando solicitado. Não é possível anexar essa política às suas identidades do IAM. Essa política permite que os AWS serviços integrados do Lake Formation, como Amazon Athena o Amazon Redshift, usem a função vinculada ao serviço para descobrir os recursos do Amazon S3. Para obter mais informações, consulte, [Usar perfis vinculados ao serviço para o Lake Formation](service-linked-roles.md). **Detalhes de permissões** Esta política inclui a seguinte permissão. + `s3:ListAllMyBuckets`: exibe uma lista de todos os buckets de propriedade do remetente autenticado da solicitação. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "LakeFormationDataAccessServiceRolePolicy", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": [ "arn:aws:s3:::*" ] } ] } ``` ------ **Atualizações do Lake Formation nas políticas AWS gerenciadas** Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Lake Formation desde que esse serviço começou a rastrear essas mudanças. | Alteração | Descrição | Data | | --- | --- | --- | | Política AWSLakeFormationCrossAccountManager atualizada do Lake Formation. | O Lake Formation aprimorou a [AWSLakeFormationCrossAccountManager](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager)política substituindo o operador de StringLike condição pelo ArnLike operador que permite ao IAM realizar a verificação do formato ARN. | Janeiro de 2025 | | Política AWSLakeFormationDataAdmin atualizada do Lake Formation. | A Lake Formation aprimorou a [AWSLakeFormationDataAdmin](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationDataAdmin)política adicionando o seguinte AWS Glue Data Catalog CRUD APIs como parte do recurso de vários catálogos. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/permissions-reference.html)Essa alteração de política gerenciada é para garantir que a pessoa de administrador do Lake Formation, por padrão, tenha permissão do IAM para essas novas operações. | Dezembro de 2024 | | Política AWSLakeFormationCrossAccountManager atualizada do Lake Formation. | A Lake Formation aprimorou a [AWSLakeFormationCrossAccountManager](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager)política adicionando elementos de Sid à declaração de política. | Março de 2024 | | Política AWSLakeFormationDataAdmin atualizada do Lake Formation. | A Lake Formation aprimorou a [AWSLakeFormationDataAdmin](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationDataAdmin)política adicionando um elemento Sid à declaração de política e removendo uma ação redundante. | Março de 2024 | | Política LakeFormationDataAccessServiceRolePolicy atualizada do Lake Formation. | A Lake Formation aprimorou a [LakeFormationDataAccessServiceRolePolicy](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/LakeFormationDataAccessServiceRolePolicy)política adicionando um elemento Sid à declaração de política. | Fevereiro de 2024 | | Política AWSLakeFormationCrossAccountManager atualizada do Lake Formation. | A Lake Formation aprimorou a [AWSLakeFormationCrossAccountManager](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager)política adicionando uma nova permissão para permitir o compartilhamento de dados entre contas no modo de acesso híbrido. | Outubro de 2023 | | Política AWSLakeFormationCrossAccountManager atualizada do Lake Formation. | A Lake Formation aprimorou a [AWSLakeFormationCrossAccountManager](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager)política para criar apenas um compartilhamento de recursos por conta de destinatário quando o recurso é compartilhado pela primeira vez. Todos os recursos compartilhados posteriormente com a mesma conta são vinculados ao mesmo compartilhamento de recursos. | 6 de maio de 2022 | | O Lake Formation passou a monitorar as alterações. | A Lake Formation começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 6 de maio de 2022 | ## Permissões sugeridas por personas A seguir estão as permissões sugeridas para cada persona. O administrador do IAM não está incluído porque esse usuário tem todas as permissões em todos os recursos. **Topics** + [Permissões de administrador do data lake](#persona-dl-admin) + [Permissões de administrador somente para leitura](#persona-read-only-admin) + [Permissões de engenheiro de dados](#persona-engineer) + [Permissões de analista de dados](#persona-user) + [Permissões da função de fluxo de trabalho](#persona-workflow-role) ### Permissões de administrador do data lake **Importante** Nas políticas a seguir, ** substitua por um número de AWS conta válido e ** substitua pelo nome de uma função que tenha permissões para executar um fluxo de trabalho, conforme definido em[Permissões da função de fluxo de trabalho](#persona-workflow-role). | Tipo de política | Política | | --- | --- | | AWS políticas gerenciadas | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/permissions-reference.html) Para obter informações sobre as políticas AWS gerenciadas opcionais, consulte[Crie um administrador de data lake](initial-lf-config.md#create-data-lake-admin). | | Política embutida (para criar a função vinculada ao serviço Lake Formation) | 
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "lakeformation.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam:::role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess"
        }
    ]
}
| | (Opcional) Política embutida (política de senha para a função de fluxo de trabalho). Isso é necessário somente se o administrador do data lake criar e executar fluxos de trabalho. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/permissions-reference.html) | | (Opcional) Política embutida (se sua conta estiver concedendo ou recebendo permissões entre contas do Lake Formation). Essa política serve para aceitar ou rejeitar convites de compartilhamento de AWS RAM recursos e para permitir a concessão de permissões entre contas às organizações. ram:EnableSharingWithAwsOrganizationé necessário somente para administradores de data lake na conta de AWS Organizations gerenciamento. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/permissions-reference.html) | ### Permissões de administrador somente para leitura | Tipo de política | Política | | --- | --- | | Política embutida (básica) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/permissions-reference.html) | ### Permissões de engenheiro de dados **Importante** Nas políticas a seguir, ** substitua por um número de AWS conta válido e ** substitua pelo nome da função do fluxo de trabalho. | Tipo de política | Política | | --- | --- | | AWS política gerenciada | AWSGlueConsoleFullAccess | | Política embutida (básica) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/permissions-reference.html) | | Política embutida (para operações em tabelas controladas, incluindo operações dentro de transações) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/permissions-reference.html) | | Política embutida (para controle de acesso a metadados usando o método de controle de acesso baseado em tags (LF-TBAC) do Lake Formation) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/permissions-reference.html) | | Política embutida (política de senha para a função de fluxo de trabalho) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/permissions-reference.html) | ### Permissões de analista de dados | Tipo de política | Política | | --- | --- | | AWS política gerenciada | AmazonAthenaFullAccess | | Política embutida (básica) | 
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess",
                "glue:GetTable",
                "glue:GetTables",
                "glue:SearchTables",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetPartitions",
                "lakeformation:GetResourceLFTags",
                "lakeformation:ListLFTags",
                "lakeformation:GetLFTag",
                "lakeformation:SearchTablesByLFTags",
                "lakeformation:SearchDatabasesByLFTags"                
           ],
            "Resource": "*"
        }
    ]
}
| | (Opcional) Política embutida (para operações em tabelas controladas, incluindo operações dentro de transações) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/permissions-reference.html) | ### Permissões da função de fluxo de trabalho Essa função tem as permissões necessárias para executar um fluxo de trabalho. Você especifica uma função com essas permissões ao criar um fluxo de trabalho. **Importante** Nas políticas a seguir, ** substitua por um identificador de AWS região válido (por exemplo`us-east-1`), ** por um número de AWS conta válido, ** pelo nome da função do fluxo de trabalho e ** pelo caminho do Amazon S3 para seus AWS CloudTrail registros. | Tipo de política | Política | | --- | --- | | AWS política gerenciada | AWSGlueServiceRole | | Política embutida (acesso a dados) | 
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Lakeformation",
            "Effect": "Allow",
            "Action": [
                 "lakeformation:GetDataAccess",
                 "lakeformation:GrantPermissions"
             ],
            "Resource": "*"
        }
    ]
}
| | Política embutida (política de senha para a função de fluxo de trabalho) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/permissions-reference.html) | | Política embutida (para ingerir dados fora do data lake, por exemplo, AWS CloudTrail registros) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/permissions-reference.html) |