Concessão de permissões de localização de dados (mesma conta)
Siga estas etapas para conceder permissões de localização de dados às entidades principais da sua conta da AWS. Você pode conceder permissões usando o console do Lake Formation, a API ou a AWS Command Line Interface (AWS CLI).
Para conceder permissões de localização de dados (mesma conta, console)
-
Abra o console do AWS Lake Formation em https://console.aws.amazon.com/lakeformation/
. Faça login como administrador do data lake ou como entidade principal que concedeu permissões no local de dados desejado. -
No painel de navegação, em Permissões, selecione Locais de dados.
-
Selecione Conceder.
-
Na caixa de diálogo Conceder permissões, verifique se o quadro Minha conta está selecionado. Em seguida, forneça as seguintes informações:
-
Para usuários e funções do IAM, escolha um ou mais entidades principais.
-
Para usuários e grupos do SAML e do Amazon QuickSight, insira um ou mais nomes dos recursos da Amazon (ARNs) para usuários ou grupos federados por meio do SAML ou ARNs para usuários ou grupos do Amazon QuickSight.
Insira um ARN por vez e pressione Enter após cada ARN. Para obter informações sobre como construir os ARNs, consulte Lake Formation concede e revoga comandos AWS CLI.
-
Para Locais de armazenamento, escolha Browse e escolha um local de armazenamento do Amazon Simple Storage Service (Amazon S3). O local deve ser registrado no Lake Formation. Escolha Procurar novamente para adicionar outro local. Você também pode digitar o local, mas certifique-se de preceder o local com
s3://
. -
Em Local da conta registrada, insira o ID da conta AWS em que o local está registrado. O padrão é o ID da sua conta. Em um cenário de várias contas, os administradores de data lake em uma conta de destinatário podem especificar a conta do proprietário aqui ao conceder a permissão de localização de dados a outras entidades principais na conta do destinatário.
-
(Opcional) Para permitir que as entidades principais selecionadas concedam permissões de localização de dados no local selecionado, escolha Concedível.
-
-
Selecione Conceder.
Para conceder permissões de localização de dados (mesma conta, AWS CLI)
-
Execute um comando
grant-permissions
e concedaDATA_LOCATION_ACCESS
à entidade principal, especificando o caminho do Amazon S3 como o recurso.O exemplo a seguir concede permissões de localização de dados em
s3://retail
ao usuáriodatalake_user1
.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::
<account-id>
:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail"}}'O exemplo a seguir concede permissões de localização de dados em
s3://retail
ao grupoALLIAMPrincipals
.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "111122223333"}}'