在 Lake Formation 中查看数据库和表权限 - AWS Lake Formation

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Lake Formation 中查看数据库和表权限

您可以查看对数据目录数据库或表授予的 Lake Formation 权限。你可以使用 Lake Formation 控制台、API 或 AWS Command Line Interface (AWS CLI) 来做到这一点。

使用控制台,您可以从数据库页面或者从数据权限页面开始查看权限。

注意

如果您不是数据库管理员或资源拥有者,则仅当您通过授予选项具有对资源的 Lake Formation 权限时,才能查看其他主体对资源具有的权限。

除了所需的 Lake Formation 权限外,您还需要 AWS Identity and Access Management (IAM) 权限glue:GetDatabasesglue:GetDatabaseglue:GetTablesglue:GetTable、、和glue:ListPermissions

查看对数据库的权限(使用控制台,从“数据库”页面开始)

  1. 通过 https://console.aws.amazon.com/lakeformation/ 打开 Lake Formation 控制台。

    以数据湖管理员、数据库创建者或通过授予选项具有对数据库的任何 Lake Formation 权限的用户身份登录。

  2. 在导航窗格中,选择数据库

  3. 选择一个数据库,然后在操作菜单上选择查看权限

    注意

    如果选择数据库资源链接,则 Lake Formation 将显示对该资源链接的权限,而不是对该资源链接的目标数据库的权限。

    数据权限页面列出了该数据库的所有 Lake Formation 权限。数据库所有者的数据库名称和目录 ID(AWS 账户 ID)作为标签显示在搜索框下。这些磁贴指示已应用筛选条件来仅列出该数据库的权限。您可以通过关闭磁贴或选择清除筛选条件来调整该筛选条件。

    “数据权限”页面的顶部显示一个搜索框,下面有两个磁贴。这两个磁贴分别标为 Database:logs 和 Catalog ID:111122223333。磁贴旁边是“清除筛选条件”按钮。下方是数据库及其权限的列表。此示例的列表中只有一行。它用于日志数据库,并且通过授予选项向 IAM 用户管理员授予了 Alter、Create table 和 Drop 权限。该列表包括“拥有者账户 ID”列,其中一行在该列中具有 11112222333。
查看对数据库的权限(使用控制台,从“数据权限”页面开始)

  1. 通过 https://console.aws.amazon.com/lakeformation/ 打开 Lake Formation 控制台。

    以数据湖管理员、数据库创建者或通过授予选项具有对数据库的任何 Lake Formation 权限的用户身份登录。

  2. 在导航窗格中,选择数据权限

  3. 将光标置于页面顶部的搜索框中,然后在显示的属性菜单上选择数据库

  4. 在显示的数据库菜单上选择一个数据库。

    注意

    如果选择数据库资源链接,则 Lake Formation 将显示对该资源链接的权限,而不是对该资源链接的目标数据库的权限。

    数据权限页面列出了该数据库的所有 Lake Formation 权限。数据库名称在搜索框下显示为磁贴。该磁贴指示已应用筛选条件来仅列出该数据库的权限。您可以通过关闭磁贴或选择清除筛选条件来移除该筛选条件。

查看对表的权限(使用控制台,从“表”页面开始)

  1. 通过 https://console.aws.amazon.com/lakeformation/ 打开 Lake Formation 控制台。

    以数据湖管理员、表创建者或通过授予选项具有对表的任何 Lake Formation 权限的用户身份登录。

  2. 在导航窗格中,选择

  3. 选择一个表,然后在操作菜单上选择查看权限

    注意

    如果选择表资源链接,则 Lake Formation 将显示对该资源链接的权限,而不是对该资源链接的目标表的权限。

    数据权限页面列出了该表的所有 Lake Formation 权限。表名、包含该表的数据库的数据库名称以及表所有者的目录 ID(AWS 账户 ID)作为标签显示在搜索框下方。这些标签指示已应用筛选条件来仅列出该表的权限。您可以通过关闭标签或选择清除筛选条件来调整该筛选条件。

    “数据权限”页面的顶部显示一个搜索字段,下面有三个磁贴。这些磁贴从左到右分别标为 Database:logs、Table:alexa-logs 和 Catalog ID:111122223333。磁贴旁边是“清除筛选条件”按钮。下方是表及其权限的列表。此示例的列表中只有一行。它用于 alexa 日志表,并且通过授予选项向 IAM 用户管理员授予了 Super 权限。该列表包括“拥有者账户 ID”列,其中一行在该列中具有 11112222333。
查看对表的权限(使用控制台,从“数据权限”页面开始)

  1. 通过 https://console.aws.amazon.com/lakeformation/ 打开 Lake Formation 控制台。

    以数据湖管理员、表创建者或通过授予选项具有对表的任何 Lake Formation 权限的用户身份登录。

  2. 在导航窗格中,选择数据权限

  3. 将光标置于页面顶部的搜索框中,然后在显示的属性菜单上选择数据库

  4. 在显示的数据库菜单上选择一个数据库。

    重要

    如果要查看从外部账户与您的 AWS 账户共享的表的权限,则必须在外部账户中选择包含该表的数据库,而不是数据库的资源链接。

    数据权限页面列出了该数据库的所有 Lake Formation 权限。

  5. 将光标再次置于搜索框中,然后在显示的属性菜单上选择

  6. 在显示的菜单上选择一个表。

    数据权限页面列出了该表的所有 Lake Formation 权限。表名称和包含该表的数据库的数据库名称在搜索框下显示为磁贴。这些磁贴指示已应用筛选条件来仅列出该表的权限。您可以通过关闭磁贴或选择清除筛选条件来调整该筛选条件。

查看对表的权限 (AWS CLI)

  • 输入 list-permissions 命令。

    以下示例列出了对从外部账户共享的表的权限。该CatalogId属性是外部 AWS 帐户的帐户 ID,数据库名称是指包含该表的外部帐户中的数据库。

    aws lakeformation list-permissions  --resource-type TABLE --resource '{ "Table": {"DatabaseName":"logs", "Name":"alexa-logs", "CatalogId":"123456789012"}}'