本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用基於標籤的訪問控制共享數據
生產者/授權人帳戶需要設定
定義 LF 標籤。如需建立 LF 標籤的指示,請參閱。創建 LF-標籤
將 LF 標籤指派給目標資源。如需詳細資訊,請參閱 將 LF 標籤指定給資料目錄資源。
將 LF 標籤權限授予外部帳戶。如需詳細資訊,請參閱 使用控制台授予 LF 標籤權限。
此時,取用者資料湖系統管理員應該能夠在 [權限]、[系統管理角色和工作 LF-tag] 下,找到透過受權者帳戶 L ake Formation 主控台共用的原則標記。
將資料權限授與外部/受權人帳戶。
在功能窗格的 [權限] 下的 [資料湖權限] 下,選擇 [授與]。
對於主體,請選擇外部帳戶,然後輸入主體的目標 AWS 帳戶 ID 或 IAM 角色,或輸入主體 (主體 ARN) 的 Amazon 資源名稱 (ARN)。
對於 LF 標籤或目錄資源,請選擇要與消費者帳戶共用的 LF 標籤的索引鍵和值 (索引鍵
Confidentiality
和值)。public
對於「權限」,在「由 LF 標籤匹配的資源(推薦)」下選擇「添加 LF 標籤」。
選取要與受權者帳戶 (索引鍵和值
public
) 共用之標籤的索引鍵Confidentiality
和值。對於資料庫權限,請選取 [資料庫權限] 下的 [說明] 以授與資料庫層級的存取權限
消費者資料湖系統管理員應該能夠在 Lake Formation 主控台 https://console.aws.amazon.com/lakeformation/
的「權限」、「系統管理角色和工作」、「LF- tag」下,找到透過消費者帳戶共用的原則標籤。 選取 [可授與權限] 下的 [說明],讓消費者帳戶可以將資料庫層級權限授與其使用者。
由於資料湖管理員必須將共用資源的權限授與受權者帳戶中的主體,因此必須始終以授與選項授與跨帳戶權限授與。
注意
收到直接跨帳戶授權的主參與者不會有「可授與」權限選項。
對於資料表和資料行權限,請選取表格權限下的選取並說明。
選取 [可授與權限] 下的 [選取並說明]。
選擇 Grant (授予)。
在收款/受授權人帳戶上設置
-
當您與其他帳號共用資源時,該資源仍屬於生產者帳號,而且在 Athena 主控台中看不到。若要在 Athena 主控台中顯示資源,您需要建立指向共用資源的資源連結。如需建立資源連結的指示,請參閱建立共用資料目錄表格的資源連結和 建立共用資料目錄資料庫的資源連結
您需要在使用者帳戶中建立一組個別的 LF 標籤,才能在共用資源連結時使用以 LF 標籤為基礎的存取控制。創建所需的 LF 標籤並將其分配給共享數據庫/表和資源鏈接。
將這些 LF 標籤的許可授與受權者帳戶中的 IAM 主體。