Concessão de permissões de localização de dados (mesma conta) - AWS Lake Formation

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Concessão de permissões de localização de dados (mesma conta)

Siga estas etapas para conceder permissões de localização de dados às entidades principais da sua conta da AWS . Você pode conceder permissões usando o console do Lake FormationAPI, o ou o AWS Command Line Interface (AWS CLI).

Para conceder permissões de localização de dados (mesma conta, console)

  1. Abra o AWS Lake Formation console em https://console.aws.amazon.com/lakeformation/. Faça login como administrador do data lake ou como entidade principal que concedeu permissões no local de dados desejado.

  2. No painel de navegação, em Permissões, selecione Locais de dados.

  3. Selecione Conceder.

  4. Na caixa de diálogo Conceder permissões, verifique se o quadro Minha conta está selecionado. Em seguida, forneça as seguintes informações:

    • Para IAMusuários e funções, escolha um ou mais diretores.

    • Para QuickSight usuários SAML e grupos da Amazon, insira um ou mais nomes de recursos da Amazon (ARNs) para usuários ou grupos federados por meio de SAML ou ARNs para QuickSight usuários ou grupos da Amazon.

      Digite um ARN de cada vez e pressione Enter após cada umARN. Para obter informações sobre como construir oARNs, consulteLake Formation concede e revoga comandos AWS CLI.

    • Para Locais de armazenamento, escolha Browse e escolha um local de armazenamento do Amazon Simple Storage Service (Amazon S3). O local deve ser registrado no Lake Formation. Escolha Procurar novamente para adicionar outro local. Você também pode digitar o local, mas certifique-se de preceder o local com s3://.

    • Em Local da conta registrada, insira o ID da AWS conta em que o local está registrado. O padrão é o ID da sua conta. Em um cenário de várias contas, os administradores de data lake em uma conta de destinatário podem especificar a conta do proprietário aqui ao conceder a permissão de localização de dados a outras entidades principais na conta do destinatário.

    • (Opcional) Para permitir que as entidades principais selecionadas concedam permissões de localização de dados no local selecionado, escolha Concedível.

    Na caixa de diálogo Conceder permissões, o usuário datalake_user e o local de armazenamento s3://retail/transactions/q119 são selecionados.

  5. Selecione Conceder.

Para conceder permissões de localização de dados (mesma conta, AWS CLI)

  • Execute um comando grant-permissions e conceda DATA_LOCATION_ACCESS à entidade principal, especificando o caminho do Amazon S3 como o recurso.

    O exemplo a seguir concede permissões de localização de dados em s3://retail ao usuário datalake_user1.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail"}}'

    O exemplo a seguir concede permissões de localização de dados em s3://retail ao grupo ALLIAMPrincipals.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "111122223333"}}'
Consulte também: