创建对接LakeFormation权限的委托

1. 登录华为云管理控制台，选择“ 统一身份认证 服务 IAM ”。
2. 在左侧导航栏选择“委托”，单击右上角的“创建委托”，配置相关参数，单击“下一步”。

   参数配置如下：

   • 委托名称：例如“visit_lakeformation_agency”
   • 委托类型：选择“普通账号”
   • 委托的账号：输入被委托的华为云账号名称
   • 持续时间：根据实际情况自定义
     图1 创建委托
     

3. 在选择策略界面右上角单击“新建策略”，配置如下信息，单击“下一步”。
   • 策略名称：例如“dev_visit_lakeformation”
   • 策略配置方式：“可视化视图”或“JSON视图”
   • 策略内容：

     策略中必须包含“lakeformation:policy:export”和“lakeformation:role:describe”。其他参数按照实际需求进行配置。

     • 可视化视图：“云服务”选择“ 湖仓构建 ”；“操作”中选择所需操作权限。其他参数按照实际需求进行配置。

       

     • JSON视图，例如配置策略内容如下：

       {
           "Version": "1.1",
           "Statement": [
               {
                   "Effect": "Allow",
                   "Action": [
                       "lakeformation:table:create",
                       "lakeformation:database:alter",
                       "lakeformation:table:alter",
                       "lakeformation:database:drop",
                       "lakeformation:database:create",
                       "lakeformation:role:describe",
                       "lakeformation:policy:create",
                       "lakeformation:policy:export",
                       "lakeformation:function:alter",
                       "lakeformation:function:describe",
                       "lakeformation:table:drop",
                       "lakeformation:catalog:describe",
                       "lakeformation:table:describe",
                       "lakeformation:function:drop",
                       "lakeformation:database:describe",
                       "lakeformation:function:create",
                       "lakeformation:transaction:operate",
                       "lakeformation:policy:drop",
                       "lakeformation:policy:describe"
                   ]
               }
           ]
       }

4. 勾选新建的策略名称例如“dev_visit_lakeformation”，单击“下一步”。
5. “设置最小授权范围”根据实际情况选择授权的资源范围，单击“确定”，创建委托。
6. 在“委托”页面，将鼠标移动到新创建的委托名称上，获取具备访问LakeFormation权限的委托ID。
   图2 查看委托ID