Berechtigungen für Amazon Redshift Redshift-Datenfreigaben einrichten

So richten Sie Berechtigungen für eine Datenfreigabe ein

1. Überprüfen Sie eine Datashare-Einladung und akzeptieren Sie sie.

   Console

   1. Melden Sie sich bei der Lake Formation Formation-Konsole als Data Lake-Administrator unter an https://console.aws.amazon.com/lakeformation/. Navigieren Sie zur Seite „Datenfreigabe“.

   2. Überprüfen Sie die Datashares, auf die Sie zugreifen dürfen. In der Spalte Status wird Ihr aktueller Teilnahmestatus für den Datenaustausch angezeigt. Der Status Ausstehend gibt an, dass Sie zu einem Datashare hinzugefügt wurden, ihn aber noch nicht akzeptiert oder die Einladung abgelehnt haben.

   3. Um auf eine DataShare-Einladung zu antworten, wählen Sie den Namen des Datenaustauschs aus und klicken Sie auf Einladung überprüfen. Überprüfen Sie unter Datashare annehmen oder ablehnen die Details der Einladung. Wählen Sie Annehmen, um die Einladung anzunehmen, oder Ablehnen, um die Einladung abzulehnen. Sie erhalten keinen Zugriff auf den Datashare, wenn Sie die Einladung ablehnen.

   AWS CLI

   Die folgenden Beispiele zeigen, wie Sie die Einladung ansehen, annehmen und registrieren können. Ersetzen Sie die AWS-Konto ID durch eine gültige AWS-Konto ID. Ersetzen Sie das data-share-arn durch den tatsächlichen Amazon-Ressourcennamen (ARN), der auf den Datashare verweist.

   1. Eine ausstehende Einladung anzeigen.

      aws redshift describe-data-shares \
       --data-share-arn 'arn:aws:redshift:us-east-1:111122223333:datashare:abcd1234-1234-ab12-cd34-1a2b3c4d5e6f/federatedds' \  

   2. Akzeptieren Sie eine Datenfreigabe.

       aws redshift associate-data-share-consumer \
       --data-share-arn 'arn:aws:redshift:us-east-1:111122223333:datashare:abcd1234-1234-ab12-cd34-1a2b3c4d5e6f/federatedds' \
       --consumer-arn 'arn:aws:glue:us-east-1:111122223333:catalog

   3. Registrieren Sie den Datashare im Lake Formation Formation-Konto. Verwenden Sie den RegisterResourceAPIVorgang, um den Datashare in Lake Formation zu registrieren. DataShareArnist der Eingabeparameter für. ResourceArn

      Anmerkung

      Dies ist ein obligatorischer Schritt.

      aws lakeformation register-resource \
       --resource-arn 'arn:aws:redshift:us-east-1:111122223333:datashare:abcd1234-1234-ab12-cd34-1a2b3c4d5e6f/federatedds' 

2. Erstellen Sie eine Datenbank.

   Nachdem Sie eine Datshare-Einladung angenommen haben, müssen Sie eine Datenbank erstellen, die auf die Amazon Redshift Redshift-Datenbank verweist, die dem Datashare zugeordnet ist. Sie müssen ein Data Lake-Administrator sein, um eine Datenbank erstellen zu können.

   Console

   1. Wählen Sie im Bereich Einladungen den Datashare aus und klicken Sie auf Datenbankdetails festlegen.

   2. Geben Sie im Feld Datenbankdetails festlegen einen eindeutigen Namen und eine eindeutige Kennung für die Datenfreigabe ein. Sie verwenden diesen Bezeichner, um den Datashare intern in der Metadatenhierarchie (.schema.table) zuzuordnen. dbName

   3. Wählen Sie Weiter, um anderen Benutzern Berechtigungen für die gemeinsam genutzte Datenbank und die Tabellen zu gewähren.

   AWS CLI

   Verwenden Sie den folgenden Beispielcode, um eine Datenbank zu erstellen, die mithilfe von auf die Amazon Redshift Redshift-Datenbank verweist, die mit Lake Formation gemeinsam genutzt wird AWS CLI.

   aws glue create-database --cli-input-json \
   
   '{
    "CatalogId": "111122223333",
    "DatabaseInput": {
     "Name": "tahoedb",
     "FederatedDatabase": {
          "Identifier": "arn:aws:redshift:us-east-1:111122223333:datashare:abcd1234-1234-ab12-cd34-1a2b3c4d5e6f/federatedds",
          "ConnectionName": "aws:redshift"
      }
    }
    }'               

3. Erteilen Sie Berechtigungen.

   Nachdem Sie die Datenbank erstellt haben, können Sie Benutzern in Ihrem Konto oder externen Benutzern AWS-Konten und Organisationen Berechtigungen gewähren. Sie können keine Schreibberechtigungen für Daten (Einfügen, Löschen) und Metadatenberechtigungen (Ändern, Löschen, Erstellen) für die Verbunddatenbank gewähren, die einem Amazon Redshift Redshift-Datenshare zugeordnet ist. Weitere Informationen zum Erteilen von Berechtigungen finden Sie unter. Verwaltung von Lake Formation Formation-Berechtigungen

   Anmerkung

   Als Data Lake-Administrator können Sie nur Tabellen in den Verbunddatenbanken anzeigen. Um andere Aktionen ausführen zu können, müssen Sie sich selbst mehr Berechtigungen für diese Tabellen gewähren.

   Console

   1. Wählen Sie auf dem Bildschirm Berechtigungen gewähren die Benutzer aus, denen Sie Berechtigungen erteilen möchten.

   2. Wählen Sie Gewähren.

   AWS CLI

   Verwenden Sie die folgenden Beispiele, um Datenbank- und Tabellenberechtigungen zu gewähren, indem Sie AWS CLI

   aws lakeformation grant-permissions --input-cli-json file://input.json
   
   {
      "Principal": {
              "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/non-admin"
      },
      "Resource": {
             "Database": {
                   "CatalogId": "111122223333",
                    "Name": "tahoedb"
              }
       },
       "Permissions": [
                "DESCRIBE"
        ],
       "PermissionsWithGrantOption": [
                            
        ]
    }
                 

   aws lakeformation grant-permissions --input-cli-json file://input.json
   
   {
                      "Principal": {
                             "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/non-admin"
                      },
                     "Resource": {
                            "Table": {
                                 "CatalogId": "111122223333",
                                 "DatabaseName": "tahoedb",
                                 "Name": "public.customer"
                          }
                     },
                    "Permissions": [
                           "SELECT"
                     ],
                    "PermissionsWithGrantOption": [
                            "SELECT"
                      ]
    }