Erteilen von Tabellenberechtigungen mithilfe der benannten Ressourcenmethode - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erteilen von Tabellenberechtigungen mithilfe der benannten Ressourcenmethode

Sie können die Lake Formation Formation-Konsole verwenden oder AWS CLI Lake Formation Formation-Berechtigungen für Datenkatalogtabellen gewähren. Sie können Berechtigungen für einzelne Tabellen gewähren, oder Sie können mit einem einzigen Erteilungsvorgang Berechtigungen für alle Tabellen in einer Datenbank gewähren.

Wenn Sie Berechtigungen für alle Tabellen in einer Datenbank gewähren, gewähren Sie implizit die DESCRIBE Berechtigung für die Datenbank. Die Datenbank wird dann auf der Seite Datenbanken in der Konsole angezeigt und durch den GetDatabases API Vorgang zurückgegeben.

Wenn Sie die SELECT zu erteilende Berechtigung auswählen, haben Sie die Möglichkeit, einen Spalten-, Zeilen- oder Zellenfilter anzuwenden.

Console

In den folgenden Schritten wird erklärt, wie Tabellenberechtigungen mithilfe der benannten Ressourcenmethode und der Seite Data-Lake-Berechtigungen gewähren in der Lake Formation Formation-Konsole erteilt werden. Die Seite ist in folgende Abschnitte unterteilt:

  • Principals — Die Benutzer, Rollen, AWS Konten, Organisationen oder Organisationseinheiten, denen Berechtigungen erteilt werden sollen.

  • LF-Tags oder Katalogressourcen — Die Datenbanken, Tabellen oder Ressourcenlinks, für die Berechtigungen erteilt werden sollen.

  • Genehmigungen — Die Lake Formation erteilt Genehmigungen.

Anmerkung

Informationen zum Erteilen von Berechtigungen für einen Tabellenressourcenlink finden Sie unterErteilen von Ressourcenverknüpfungsberechtigungen.

  1. Öffnen Sie die Seite Data Lake-Berechtigungen gewähren.

    Öffnen Sie die AWS Lake Formation Konsole unter https://console.aws.amazon.com/lakeformation/und melden Sie sich als Data Lake-Administrator, Tabellenersteller oder als Benutzer an, dem mit der Option Grant Berechtigungen für die Tabelle erteilt wurden.

    Führen Sie eine der folgenden Aktionen aus:

    • Wählen Sie im Navigationsbereich unter Berechtigungen die Option Data Lake-Berechtigungen aus. Wählen Sie dann Grant aus.

    • Wählen Sie im Navigationsbereich Tables (Tabellen) aus. Wählen Sie dann auf der Seite Tabellen eine Tabelle aus, und klicken Sie im Menü Aktionen unter Berechtigungen auf Grant.

    Anmerkung

    Sie können Berechtigungen für eine Tabelle über ihren Ressourcenlink gewähren. Wählen Sie dazu auf der Seite Tabellen einen Ressourcenlink und dann im Menü Aktionen die Option Auf Ziel gewähren aus. Weitere Informationen finden Sie unter Funktionsweise von Ressourcenverbindungen in Lake Formation.

  2. Wählen Sie als Nächstes im Abschnitt Principals einen Principaltyp aus und geben Sie Principals an, denen Berechtigungen erteilt werden sollen.

    Der Abschnitt Principals enthält drei Kacheln, die im folgenden Text benannt werden. Jede Kachel enthält eine Optionsschaltfläche und Text. Die IAM Identity Center-Kachel „Benutzer und Gruppen“ ist ausgewählt, und unter den Kacheln befindet sich eine Dropdownliste „IAMBenutzer und Rollen“.
    IAMBenutzer und Rollen

    Wählen Sie einen oder mehrere Benutzer oder Rollen aus der Liste der IAMBenutzer und Rollen aus.

    IAMIdentity Center

    Wählen Sie einen oder mehrere Benutzer oder Gruppen aus der Liste Benutzer und Gruppen aus.

    SAML-Benutzer und -Gruppen

    Geben Sie für SAML QuickSight Amazon-Benutzer und -Gruppen einen oder mehrere Amazon-Ressourcennamen (ARNs) für Benutzer oder Gruppen ein, die über Amazon verbunden sindSAML, oder ARNs für QuickSight Amazon-Benutzer oder -Gruppen. Drücken Sie nach jedem ARN Schritt die Eingabetaste.

    Informationen zum Konstruieren von finden Sie unterLake Formation erteilt und widerruft AWS CLI Befehle. ARNs

    Anmerkung

    Die Integration von Lake Formation mit Amazon QuickSight wird nur für die Amazon QuickSight Enterprise Edition unterstützt.

    Externe Konten

    Geben Sie für AWS-Konto , AWS Organisation oder IAMPrincipal eine oder mehrere gültige Organisationen AWS-Konto IDsIDs, Organisationseinheiten IDs oder die ARN für den IAM Benutzer oder die Rolle ein. Drücken Sie nach jeder ID die Eingabetaste.

    Eine Organisations-ID besteht aus „o-“, gefolgt von 10—32 Kleinbuchstaben oder Ziffern.

    Eine Organisationseinheits-ID beginnt mit „ou-“, gefolgt von 4—32 Kleinbuchstaben oder Ziffern (der ID des Stammes, der die Organisationseinheit enthält). Auf diese Zeichenfolge folgen ein zweites „-“ -Zeichen und 8 bis 32 zusätzliche Kleinbuchstaben oder Ziffern.

  3. Wählen Sie im Bereich LF-Tags oder Katalogressourcen eine Datenbank aus. Wählen Sie dann eine oder mehrere Tabellen oder Alle Tabellen aus.

    Der Bereich LF-Tags oder Katalogressourcen enthält zwei horizontal angeordnete Kacheln, wobei jede Kachel ein Optionsfeld und einen beschreibenden Text enthält. Die Optionen lauten Ressourcen, denen LF-Tags zugeordnet sind, und Benannte Datenkatalogressourcen. Benannte Datenkatalogressourcen sind ausgewählt. Unter den Kacheln befinden sich zwei Dropdownlisten: Datenbank und Tabelle. Unter der Datenbank-Dropdown-Liste befindet sich eine Kachel, die den ausgewählten Datenbanknamen enthält. Unter der Dropdownliste Tabelle befindet sich eine Kachel, die den ausgewählten Tabellennamen enthält.
  4. Geben Sie die Berechtigungen ohne Datenfilterung an

    Wählen Sie im Abschnitt Berechtigungen die Tabellenberechtigungen aus, die Sie gewähren möchten, und wählen Sie optional erteilbare Berechtigungen aus.

    Der Abschnitt Tabellen- und Spaltenberechtigungen besteht aus zwei Unterabschnitten: Tabellenberechtigungen und Erteilbare Berechtigungen. Jeder Unterabschnitt hat ein Kontrollkästchen für jede mögliche Lake Formation Formation-Berechtigung: Ändern, Insert, Drop, Delete, Select, Describe und Super. Die Super-Berechtigung befindet sich rechts neben den anderen Berechtigungen und hat eine Beschreibung: „Diese Berechtigung ermöglicht es dem Prinzipal, alle Berechtigungen auf der linken Seite zu gewähren, und ersetzt diese erteilbaren Berechtigungen.“

    Wenn Sie Select gewähren, wird der Abschnitt Datenberechtigungen unter dem Abschnitt Tabellen- und Spaltenberechtigungen angezeigt, wobei die Option Gesamter Datenzugriff standardmäßig ausgewählt ist. Akzeptieren Sie die Standardeinstellung.

    Der Abschnitt enthält drei horizontal angeordnete Kacheln mit jeweils einem Optionsfeld und einer Beschreibung. Die Optionsfelder lauten: Zugriff auf alle Daten (ausgewählt), Einfacher spaltenbasierter Zugriff und Erweiterte Filter auf Zellenebene.

  5. Wählen Sie Gewähren.

  6. Geben Sie die Auswahlberechtigung mit Datenfilterung an

    Wählen Sie die Select-Berechtigung aus. Wählen Sie keine anderen Berechtigungen aus.

    Der Abschnitt Datenberechtigungen wird unter dem Abschnitt Tabellen- und Spaltenberechtigungen angezeigt.

  7. Führen Sie eine der folgenden Aktionen aus:

    • Wenden Sie nur einfache Spaltenfilterung an.

      1. Wählen Sie Einfacher spaltenbasierter Zugriff.

        Der oberste Bereich ist der Bereich Tabellen- und Spaltenberechtigungen. Er wird im vorherigen Screenshot beschrieben. Es enthält Kontrollkästchen für Tabellenberechtigungen und erteilbare Berechtigungen. Der untere Bereich, Datenberechtigungen, besteht aus drei horizontal angeordneten Kacheln, wobei jede Kachel ein Optionsfeld und eine Beschreibung enthält. Die Optionen lauten „Zugriff auf alle Daten“, „Einfacher spaltenbasierter Zugriff“ und „Erweiterte Filter auf Zellenebene“. Die Option Einfacher spaltenbasierter Zugriff ist ausgewählt. Unter den Kacheln befindet sich eine Optionsschaltflächengruppe mit der Bezeichnung Berechtigungsfilter auswählen. Die Optionen lauten Spalten einschließen und Spalten ausschließen. Unter der Optionsgruppe befindet sich eine Dropdownliste „Spalten auswählen“ und darunter befindet sich ein Unterabschnitt „Erteilbare Berechtigungen“, der ein einzelnes Kontrollkästchen mit der Bezeichnung „Auswählen“ enthält.

      2. Wählen Sie aus, ob Spalten ein- oder ausgeschlossen werden sollen, und wählen Sie dann die Spalten aus, die ein- oder ausgeschlossen werden sollen.

        Nur Einschlusslisten werden unterstützt, wenn einem externen AWS Konto oder einer externen Organisation Berechtigungen erteilt werden.

      3. (Optional) Aktivieren Sie unter Erteilbare Berechtigungen die Option Erteilen für die Berechtigung Auswählen.

        Wenn Sie die Option „Gewähren“ angeben, kann der Empfänger des Zuschusses Berechtigungen nur für die Spalten gewähren, die Sie ihm gewähren.

      Anmerkung

      Sie können die Spaltenfilterung auch nur anwenden, indem Sie einen Datenfilter erstellen, der einen Spaltenfilter spezifiziert und alle Zeilen als Zeilenfilter angibt. Dies erfordert jedoch weitere Schritte.

    • Wenden Sie die Spalten-, Zeilen- oder Zellenfilterung an.

      1. Wählen Sie Erweiterte Filter auf Zellenebene aus.

        Dieser Abschnitt mit dem Titel Datenberechtigungen befindet sich unter dem Abschnitt Tabellenberechtigungen. Er besteht aus drei horizontal angeordneten Kacheln, wobei jede Kachel eine Optionsschaltfläche und eine Beschreibung enthält. Die Optionen lauten „Zugriff auf alle Daten“, „Einfacher spaltenbasierter Zugriff“ und „Erweiterte Filter auf Zellenebene“. Die Option Erweiterte Filter auf Zellenebene ist ausgewählt. Unter den Kacheln befindet sich die Bezeichnung Vorhandene Berechtigungen anzeigen mit einem Dreieck auf der linken Seite. Die vorhandenen Berechtigungen werden nicht angezeigt. Darunter befindet sich ein Abschnitt mit dem Titel Zu erteilende Datenfilter. Rechts neben dem Titel befinden sich drei Schaltflächen: Aktualisieren, Filter verwalten und Neuen Filter erstellen. Unter dem Titel und den Schaltflächen befindet sich ein Textfeld mit dem Platzhaltertext „Filter suchen“. Darunter befindet sich eine Tabelle mit vorhandenen Filtern. Jede Zeile hat ein Kontrollkästchen auf der linken Seite. Die Spaltenüberschriften lauten Filtername, Tabelle, Datenbank und Tabellenkatalog-ID. Es gibt zwei Zeilen. Der Filtername in der ersten Zeile lautet restrict-pharma. Der Name in der zweiten Zeile lautet No-Pharma.

      2. (Optional) Erweitern Sie „Vorhandene Berechtigungen anzeigen“.

      3. (Optional) Wählen Sie Neuen Filter erstellen.

      4. (Optional) Um Details zu den aufgelisteten Filtern anzuzeigen oder um neue Filter zu erstellen oder bestehende zu löschen, wählen Sie Filter verwalten.

        Die Seite Datenfilter wird in einem neuen Browserfenster geöffnet.

        Wenn Sie mit der Seite „Datenfilter“ fertig sind, kehren Sie zur Seite „Berechtigungen gewähren“ zurück und aktualisieren Sie die Seite gegebenenfalls, um alle neuen Datenfilter anzuzeigen, die Sie erstellt haben.

      5. Wählen Sie einen oder mehrere Datenfilter aus, die auf den Zuschuss angewendet werden sollen.

        Anmerkung

        Wenn die Liste keine Datenfilter enthält, bedeutet dies, dass für die ausgewählte Tabelle keine Datenfilter erstellt wurden.

  8. Wählen Sie Gewähren.

AWS CLI

Sie können Tabellenberechtigungen gewähren, indem Sie die benannte Ressourcenmethode und die AWS Command Line Interface (AWS CLI) verwenden.

Um Tabellenberechtigungen zu gewähren, verwenden Sie AWS CLI

  • Führen Sie einen grant-permissions Befehl aus und geben Sie eine Tabelle als Ressource an.

Beispiel — Grant für eine einzelne Tabelle — keine Filterung

Im folgenden Beispiel wird dem Benutzer datalake_user1 im AWS Konto 1111-2222-3333 in der Tabelle in der Datenbank ein SELECT und ALTER gewährt. inventory retail

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
Anmerkung

Wenn Sie die ALTER Berechtigung für eine Tabelle erteilen, deren zugrunde liegende Daten sich an einem registrierten Speicherort befinden, müssen Sie sicherstellen, dass Sie auch den Prinzipalen Datenspeicherberechtigungen für diesen Speicherort gewähren. Weitere Informationen finden Sie unter Erteilung von Berechtigungen zum Speicherort von Daten.

Beispiel — Mit der Option „Gewähren“ für alle Tabellen gewähren — keine Filterung

Im nächsten Beispiel werden Zuschüsse SELECT mit der Grant-Option für alle Tabellen in der Datenbank gewährtretail.

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --permissions-with-grant-option "SELECT" --resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
Beispiel — Grant mit einfacher Spaltenfilterung

Im nächsten Beispiel wird eine Teilmenge von Spalten in der Tabelle persons gewährtSELECT. Es verwendet eine einfache Spaltenfilterung.

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "TableWithColumns": {"DatabaseName":"hr", "Name":"persons", "ColumnNames":["family_name", "given_name", "gender"]}}'
Beispiel — Grant mit einem Datenfilter

Dieses Beispiel bezieht sich SELECT auf die orders Tabelle und wendet den restrict-pharma Datenfilter an.

aws lakeformation grant-permissions --cli-input-json file://grant-params.json

Im Folgenden ist der Inhalt der Datei aufgeführtgrant-params.json.

{
    "Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
    "Resource": {
        "DataCellsFilter": {
            "TableCatalogId": "111122223333",
            "DatabaseName": "sales",
            "TableName": "orders",
            "Name": "restrict-pharma"
        }
    },
    "Permissions": ["SELECT"],
    "PermissionsWithGrantOption": ["SELECT"]
}
Weitere Informationen finden Sie auch unter