向用户和组授予权限 - AWS Lake Formation

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

向用户和组授予权限

您的数据湖管理员可以向 IAM Identity Center 用户和组授予对数据目录资源(数据库、表和视图)的权限,以便轻松访问数据。要授予或撤销数据湖权限,授予者需要具有执行以下 IAM Identity Center 操作的权限。

您可以使用 Lake Formation 控制台、API 或 AWS CLI来授予权限。

有关授予权限的更多信息,请参阅授予对数据目录资源的权限

注意

您只能授予对账户中资源的权限。要将权限级联到用户和群组对与您共享的资源,您必须使用 AWS RAM 资源共享。

AWS Management Console
向用户和组授予权限

  1. 登录并打开 Lake AWS Management Console Formation 控制台,网址为https://console.aws.amazon.com/lakeformation/

  2. 在 Lake Formation 控制台的权限下,选择数据湖权限

  3. 选择授予

  4. 授予数据湖权限页面上,选择 IAM Identity Center 用户和群组。

  5. 选择添加以选择要授予权限的用户和组。

    选中 IAM Identity Center 用户和组的“授予数据湖权限”屏幕。

  6. 分配用户和组屏幕上,选择要授予权限的用户和/或组。

    选择分配

    选中 IAM Identity Center 用户和组的“授予数据湖权限”屏幕。

  7. 接下来,选择授予权限的方法。

    有关使用命名资源方法授予权限的说明,请参阅使用命名资源方法授予数据湖权限

    有关使用 LF 标签授予权限的说明,请参阅使用 LF-TBAC 方法授予数据湖权限

  8. 选择要授予其权限的数据目录资源。

  9. 选择要授予的数据目录权限。

  10. 选择授予

AWS CLI

以下示例演示如何向 IAM Identity Center 用户授予对表的 SELECT 权限。

aws lakeformation grant-permissions \
--principal DataLakePrincipalIdentifier=arn:aws:identitystore:::user/<UserId> \
--permissions "SELECT" \
--resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'

UserId从 IAM 身份中心检索,请参阅 IAM 身份中心 API 参考中的GetUserId操作。