Erteilen von Berechtigungen für Datenkatalogressourcen - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erteilen von Berechtigungen für Datenkatalogressourcen

Sie können Prinzipalen Data Lake-Berechtigungen gewähren, AWS Lake Formation sodass die Prinzipale Datenkatalogressourcen erstellen und verwalten und auf die zugrunde liegenden Daten zugreifen können. Sie können Data Lake-Berechtigungen für Datenbanken, Tabellen und Ansichten gewähren. Wenn Sie Berechtigungen für Tabellen gewähren, können Sie den Zugriff auf bestimmte Tabellenspalten oder -zeilen einschränken, um eine noch detailliertere Zugriffskontrolle zu erreichen.

Sie können Berechtigungen für einzelne Tabellen und Ansichten gewähren, oder Sie können mit einem einzigen Erteilungsvorgang Berechtigungen für alle Tabellen und Ansichten in einer Datenbank gewähren. Wenn Sie Berechtigungen für alle Tabellen in einer Datenbank gewähren, gewähren Sie implizit die DESCRIBE Berechtigung für die Datenbank. Die Datenbank wird dann auf der Seite Datenbanken in der Konsole angezeigt und durch den GetDatabases API Vorgang zurückgegeben.

Sie können Berechtigungen entweder mithilfe der benannten Ressourcenmethode oder der Tag-basierten Zugriffssteuerungsmethode (LF-TBAC) in Lake Formation gewähren.

Sie können Prinzipalen derselben Person oder externen Konten AWS-Konto oder Organisationen Berechtigungen gewähren. Wenn Sie externen Konten oder Organisationen gewähren, teilen Sie Ressourcen, die Sie besitzen, mit diesen Konten oder Organisationen. Prinzipale in diesen Konten oder Organisationen können dann auf Datenkatalogressourcen, deren Eigentümer Sie sind, und auf die zugrunde liegenden Daten zugreifen.

Anmerkung

Derzeit unterstützt die TBAC LF-Methode die Gewährung kontenübergreifender Berechtigungen für IAM Prinzipale AWS-Konten, Organisationen und Organisationseinheiten (). OUs

Wenn Sie externen Konten oder Organisationen Berechtigungen gewähren, müssen Sie die Option „Gewähren“ angeben. Nur der Data Lake-Administrator im externen Konto kann auf die gemeinsam genutzten Ressourcen zugreifen, bis der Administrator anderen Prinzipalen im externen Konto Berechtigungen für die gemeinsam genutzten Ressourcen erteilt.

Sie können Datenkatalogberechtigungen mithilfe der AWS Lake Formation KonsoleAPI, der oder der AWS Command Line Interface (AWS CLI) erteilen.

Anmerkung

Wenn Sie eine Datenkatalogressource löschen, werden alle mit der Ressource verknüpften Berechtigungen ungültig. Durch das Neuerstellen derselben Ressource mit demselben Namen werden die Lake Formation Formation-Berechtigungen nicht wiederhergestellt. Benutzer müssen erneut neue Berechtigungen einrichten.