翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用した LF タグアクセス許可の管理 AWS CLI
AWS Command Line Interface (AWS CLI) を使用して、LF タグに対するアクセス許可の付与、取り消し、および一覧表示を行うことができます。
LF タグアクセス許可を一覧表示するには (AWS CLI)
-
list-permissions
コマンドを入力します。これを表示するには、LF タグ作成者またはデータレイク管理者であるか、LF タグに対するDrop
、Alter
、Describe
、Associate
、Grant with LF-Tag permissions
アクセス許可を持ってる必要があります。以下のコマンドは、アクセス許可を持っているすべての LF タグをリクエストします。
aws lakeformation list-permissions --resource-type LF_TAG
以下は、すべてのプリンシパルに付与されたすべての LF タグが表示される、データレイク管理者のための出力の例です。非管理ユーザーには、自分に付与された LF タグのみが表示されます。外部アカウントから付与された LF タグアクセス許可は、個別の結果ページに表示されます。それらを表示するには、コマンドの前回の実行から返されたトークンを
--next-token
引数に指定して、コマンドを繰り返します。{ "PrincipalResourcePermissions": [ { "Principal": { "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_admin" }, "Resource": { "LFTag": { "CatalogId": "111122223333", "TagKey": "environment", "TagValues": [ "*" ] } }, "Permissions": [ "ASSOCIATE" ], "PermissionsWithGrantOption": [ "ASSOCIATE" ] }, { "Principal": { "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1" }, "Resource": { "LFTag": { "CatalogId": "111122223333", "TagKey": "module", "TagValues": [ "Orders", "Sales" ] } }, "Permissions": [ "DESCRIBE" ], "PermissionsWithGrantOption": [] }, ... ], "NextToken": "eyJzaG91bGRRdWVy...Wlzc2lvbnMiOnRydWV9" }
特定の LF タグのキーに関するすべてのアクセス許可を一覧表示できます。次のコマンドは、
module
という LF タグに関して付与されたすべてのアクセス許可を返します。aws lakeformation list-permissions --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
特定の LF タグに関して特定のプリンシパルに付与された LF タグの値を一覧表示することもできます。
--principal
引数を指定する場合は、--resource
引数を指定する必要があります。このため、このコマンドが実質的にリクエストできるのは、特定の LF タグのキーに関して特定のプリンシパルに付与された値のみです。次のコマンドは、これをプリンシパルdatalake_user1
と LF タグのキーmodule
について行う方法を示しています。aws lakeformation list-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
以下は出力例です。
{ "PrincipalResourcePermissions": [ { "Principal": { "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1" }, "Resource": { "LFTag": { "CatalogId": "111122223333", "TagKey": "module", "TagValues": [ "Orders", "Sales" ] } }, "Permissions": [ "ASSOCIATE" ], "PermissionsWithGrantOption": [] } ] }
LF タグに対するアクセス許可を付与するには (AWS CLI)
-
以下のようなコマンドを入力します。この例は、
module
キーを持つ LF タグに対するAssociate
アクセス許可をユーザーdatalake_user1
に付与します。これは、そのキーのすべての値 (アスタリスク (*) で示されています) を表示して割り当てる許可を付与します。aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
Associate
許可の付与は、Describe
許可を黙示的に付与します。次の例では、 キー を持つ LF タグの外部 AWS アカウント 1234-5678-9012
Associate
にmodule
許可オプションを付与します。これは、sales
とorders
の値のみを表示して割り当てる許可を付与します。aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "ASSOCIATE" --permissions-with-grant-option "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'
-
GrantWithLFTagExpression
許可の付与は、Describe
許可を黙示的に付与します。次の例は、キー
module
を持つ LF タグに対するGrantWithLFTagExpression
を付与オプション付きでユーザーに付与します。データカタログリソースを表示するアクセス許可を付与し、値sales
とorders
のみを使用してアクセス許可を付与するアクセス許可を付与します。aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "GrantWithLFTagExpression" --permissions-with-grant-option "GrantWithLFTagExpression" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'
-
次の例は、キー
module
を持つ LF タグに対するDrop
アクセス許可を grant オプション付きでユーザーに付与します。LF タグを削除するアクセス許可を付与します。LF タグを削除するには、そのキーのすべての値に対するアクセス許可が必要です。aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DROP" --permissions-with-grant-option "DROP" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
-
次の例は、キー
module
を持つ LF タグに対するAlter
アクセス許可を grant オプション付きでユーザーに付与します。LF タグを削除するアクセス許可を付与します。LF タグを更新するには、そのキーのすべての値に対するアクセス許可が必要です。aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
LF タグに対するアクセス許可を取り消すには (AWS CLI)
-
以下のようなコマンドを入力します。この例は、
module
キーを持つ LF タグに対するAssociate
許可をユーザーdatalake_user1
から取り消します。aws lakeformation revoke-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'