As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Concessão de permissões de localização de dados (conta externa)
Siga estas etapas para conceder permissões de localização de dados a uma AWS conta ou organização externa.
Você pode conceder permissões usando o console do Lake FormationAPI, o ou o AWS Command Line Interface (AWS CLI).
Antes de começar
Certifique-se de que todos os pré-requisitos de acesso entre contas sejam atendidos. Para obter mais informações, consulte Pré-requisitos.
Para conceder permissões de localização de dados (conta externa, console)
-
Abra o AWS Lake Formation console em https://console.aws.amazon.com/lakeformation/
. Faça login como administrador de data lake. -
No painel de navegação, em Permissões, escolha Locais de dados e, em seguida, escolha Conceder.
-
Na caixa de diálogo Conceder permissões, escolha o quadro Conta externa.
-
Forneça as informações a seguir:
-
Para ID AWS da conta ou ID AWS da organização, insira números de AWS contaIDs, organização ou unidade organizacional válidosIDs.
Pressione Enter após cada ID.
O ID da organização consiste em "o-" seguido por 10 a 32 letras minúsculas ou dígitos.
Um ID de unidade organizacional consiste em "ou-" seguido de 4 a 32 letras minúsculas ou dígitos (o ID da raiz que contém a OU). Essa string é seguida por um segundo "-" (hífen) e 8 a 32 letras minúsculas ou dígitos adicionais.
-
Em Locais de armazenamento, escolha Procurar e escolha um local de armazenamento do Amazon Simple Storage Service (Amazon S3). O local deve ser registrado no Lake Formation.
-
-
Selecione Concedível.
-
Selecione Conceder.
Para conceder permissões de localização de dados (conta externa AWS CLI)
-
Para conceder permissões a uma AWS conta externa, digite um comando semelhante ao seguinte.
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'Esse comando concede a
DATA_LOCATION_ACCESSa opção de concessão à conta 1111-2222-3333 no locals3://retail/transactions/2020q1do Amazon S3, que pertence à conta 1234-5678-9012.Para conceder permissões a uma organização, digite um comando semelhante ao seguinte:
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{"DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'Este comando concede a
DATA_LOCATION_ACCESSa opção de concessão à organizaçãoo-abcdefghijklno local do Amazon S3s3://retail/transactions/2020q1, que pertence à conta 1234-5678-9012.Para conceder permissões a um principal em uma AWS conta externa, digite um comando semelhante ao seguinte.
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3::retail/transactions/2020q1", "CatalogId": "123456789012"}}'Esse comando é concedido
DATA_LOCATION_ACCESSa uma entidade principal na conta 1111-2222-3333 na localizaçãos3://retail/transactions/2020q1do Amazon S3, que pertence à conta 1234-5678-9012.O exemplo a seguir concede permissões de localização de dados a
s3://retailpara um grupoALLIAMPrincipalsem uma conta externa.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "123456789012"}}'
Consulte também:
