本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Amazon 中 DataZone,订阅请求以及已批准或授予的资产读取权限订阅由订阅批准者管理。某项资产的订阅批准者由该资产发布到 Amazon DataZone 目录时所签订的发布协议确定。
注意
不支持使用 AWS Lake Formation LF-TBAC 方法对 AWS Glue Data Catalog 资产进行访问管理。
不支持跨区域共享中的 AWS Glue Data Catalog 资产。
托管 AWS Glue Data Catalog 资产的订阅请求获得批准后,Amazon DataZone 会自动将这些资产添加到项目中的所有现有数据湖环境中。 DataZone 然后,Amazon 会代表您通过授予并管理对已批准 AWS Glue Data Catalog 表格的访问权限 AWS Lake Formation。对于订阅者项目,授予的资产将 AWS Glue Data Catalog 作为您账户中的资源显示在中。之后,您可以使用 Amazon Athena 查询表。
注意
如果在已订阅的 AWS Glue Data Catalog 资产自动添加到现有数据湖环境后向项目中添加了新的数据湖环境,则必须手动将这些订阅的 AWS Glue Data Catalog 资产添加到这个新的数据湖环境中。为此,您可以在 Amazon DataZone 数据门户中项目概述页面的 “数据” 选项卡中选择 “添加授权” 选项。
为了 DataZone 使亚马逊能够授予对 G AWS lue 数据目录表的访问权限,必须满足以下条件。
-
Glue AWS 表必须由 Lake Formation 管理,因为亚马逊通过管理 Lake Formation 权限来 DataZone 授予访问权限。
-
用于发布 AWS Glue 数据目录表的数据湖环境的管理访问角色必须具有以下 Lake Formation 权限:
-
DESCRIBE以及对包含已发布表的 AWS Glue 数据库的DESCRIBE GRANTABLE权限。 -
Lake Formation 中对已发布的表的
DESCRIBE、SELECT、DESCRIBE GRANTABLE、SELECT GRANTABLE权限。
-
有关更多信息,请参阅《AWS Lake Formation Developer Guide》中的 Granting and revoking permissions on catalog resources。
