

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Security Lake 中建立具有查詢存取權之訂閱者的先決條件
<a name="prereqs-query-subscriber"></a>

您必須先完成下列先決條件，才能在 Security Lake 中建立具有資料存取權的訂閱者。

## 驗證許可
<a name="add-query-subscriber-permissions"></a>

建立具有查詢存取權的訂閱者之前，請確認您具有執行下列動作清單的許可。

若要驗證您的許可，請使用 IAM 檢閱連接至 IAM 身分的 IAM 政策。然後，將這些政策中的資訊與下列必須允許您執行的動作清單進行比較，以建立具有查詢存取權的訂閱者。
+ `glue:PutResourcePolicy`
+ `glue:DeleteResourcePolicy`
+ `iam:CreateRole`
+ `iam:DeleteRolePolicy`
+ `iam:GetRole`
+ `iam:PutRolePolicy`
+ `lakeformation:GrantPermissions`
+ `lakeformation:ListPermissions`
+ `lakeformation:RegisterResource`
+ `lakeformation:RevokePermissions`
+ `ram:GetResourceShareAssociations`
+ `ram:GetResourceShares`
+ `ram:UpdateResourceShare`

**重要**  
驗證許可之後：  
如果您計劃使用 Security Lake 主控台新增具有查詢存取權的訂閱者，您可以略過下一個步驟並繼續 [授予 Lake Formation 管理員許可](#permissions-lf-admin)。Security Lake 會建立所有必要的 IAM 角色，或代表您使用現有的角色。
如果您計劃使用 Security Lake API 或 CLI 來新增具有查詢存取權的訂閱者，請繼續下一個步驟以建立 IAM 角色來查詢 Security Lake 資料。

## 建立 IAM 角色以查詢 Security Lake 資料 (API AWS CLI和僅限步驟）
<a name="iam-role-query-subscriber"></a>

使用 Security Lake API 或 AWS CLI 將查詢存取權授予訂閱者時，您需要建立名為 的角色`AmazonSecurityLakeMetaStoreManager`。Security Lake 使用此角色來註冊 AWS Glue 分割區和更新 AWS Glue 資料表。您可能已在建立[必要的 IAM 角色時建立此角色](getting-started.html#prerequisite-iam-roles)。

## 授予 Lake Formation 管理員許可
<a name="permissions-lf-admin"></a>

您也需要將 Lake Formation 管理員許可新增至您用來存取 Security Lake 主控台和新增訂閱者的 IAM 角色。

您可以依照下列步驟，將 Lake Formation 管理員許可授予您的角色：

1. 開啟 Lake Formation 主控台，網址為 [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)。

1. 以管理使用者身分登入。

1. 如果出現**歡迎使用 Lake Formation** 視窗，請選擇您在步驟 1 中建立或選取的使用者，然後選擇開始使用。

1. 如果您沒有看到**歡迎使用 Lake Formation** 視窗，請執行下列步驟來設定 Lake Formation 管理員。

   1. 在導覽窗格**的許可**下，選擇**管理角色和任務**。在**資料湖管理員**區段中，選擇**選擇管理員**。

   1. 在**管理資料湖管理員**對話方塊中，針對 IAM 使用者和角色，選擇存取 Security Lake 主控台時使用的管理員角色，然後選擇**儲存**。

如需變更資料湖管理員許可的詳細資訊，請參閱《 *AWS Lake Formation 開發人員指南*》中的[建立資料湖管理員](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html#create-data-lake-admin)。

IAM 角色必須具有您要授予訂閱者存取權之資料庫和資料表`SELECT`的權限。如需如何執行此操作的說明，請參閱《 *AWS Lake Formation 開發人員指南*》中的[使用具名資源方法授予資料目錄許可](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-cat-perms-named-resource.html)。