本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 變更資料湖的預設設定
<a name="change-settings"></a>

為了維持與 的回溯相容性AWS Glue， AWS Lake Formation 具有下列初始安全性設定：
+ `Super` 許可會授予所有現有 AWS Glue Data Catalog 資源`IAMAllowedPrincipals`上的 群組。
+ 新 Data Catalog 資源已啟用「僅使用 IAM 存取控制」設定。

這些設定實際上會導致僅由 AWS Identity and Access Management (IAM) 政策控制對 Data Catalog 資源和 Amazon S3 位置的存取。個別 Lake Formation 許可未生效。

`IAMAllowedPrincipals` 群組包含 IAM 政策允許存取 Data Catalog 資源的任何 IAM 使用者和角色。`Super` 許可可讓委託人在授予它的資料庫或資料表上執行每個支援的 Lake Formation 操作。

若要變更安全設定，以便由 Lake Formation 許可管理對 Data Catalog 資源 （資料庫和資料表） 的存取，請執行下列動作：

1. 變更新資源的預設安全設定。如需說明，請參閱[變更預設許可模型或使用混合存取模式](initial-lf-config.md#setup-change-cat-settings)。

1. 變更現有 Data Catalog 資源的設定。如需說明，請參閱[將AWS Glue資料許可升級到 AWS Lake Formation 模型](upgrade-glue-lake-formation.md)。

**使用 Lake Formation `PutDataLakeSettings` API 操作變更預設安全設定**  
您也可以使用 Lake Formation [PutDataLakeSettings](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_PutDataLakeSettings.html) API 操作來變更預設安全設定。此動作將選用的目錄 ID 和 [DataLakeSettings](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_DataLakeSettings.html) 結構做為引數。

若要在新資料庫和資料表上強制執行 Lake Formation 的中繼資料和基礎資料存取控制，請依下列方式編寫`DataLakeSettings`結構的程式碼。

**注意**  
將 {{<AccountID>}} 取代為有效的 AWS 帳戶 ID，並將 {{<Username>}} 取代為有效的 IAM 使用者名稱。您可以將多個使用者指定為資料湖管理員。

```
{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::{{<AccountId>}}:user/{{<Username>}}"
            }
        ],
        "CreateDatabaseDefaultPermissions": [],
        "CreateTableDefaultPermissions": []
    }
}
```

您也可以編寫結構的程式碼，如下所示。省略 `CreateDatabaseDefaultPermissions`或 `CreateTableDefaultPermissions` 參數等同於傳遞空清單。

```
{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::{{<AccountId>}}:user/{{<Username>}}"
            }
        ]
    }
}
```

此動作會有效地撤銷新資料庫和資料表上`IAMAllowedPrincipals`群組的所有 Lake Formation 許可。建立資料庫時，您可以覆寫此設定。

若要僅在新資料庫和資料表上透過 IAM 強制執行中繼資料和基礎資料存取控制，請依下列方式對`DataLakeSettings`結構編寫程式碼。

```
{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::{{<AccountId>}}:user/{{<Username>}}"
            }
        ],
        "CreateDatabaseDefaultPermissions": [
            {
                "Principal": {
                    "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"
                },
                "Permissions": [
                    "ALL"
                ]
            }
        ],
        "CreateTableDefaultPermissions": [
            {
                "Principal": {
                    "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"
                },
                "Permissions": [
                    "ALL"
                ]
            }
        ]
    }
}
```

這會將 `Super` Lake Formation 許可授予新資料庫和資料表上的 `IAMAllowedPrincipals`群組。建立資料庫時，您可以覆寫此設定。

**注意**  
在上述`DataLakeSettings`結構中， 的唯一允許值`DataLakePrincipalIdentifier`為 `IAM_ALLOWED_PRINCIPALS`，而 的唯一允許值`Permissions`為 `ALL`。