本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
授與和撤銷資料目錄資源的權限
您可以將資料湖權限授與中的主參與者,以 AWS Lake Formation 便主參與者可以建立和管理「資料目錄」資源,並可存取基礎資料。您可以授與資料庫、資料表和檢視的資料湖權限。當您授與資料表的權限時,您可以限制對特定資料表資料行或資料列的存取權,以進行更精細的存取控制。
您可以授與個別資料表和檢視表的權限,或是透過單一授與作業授與資料庫中所有資料表和檢視表的權限。如果您授與資料庫中所有資料表的權限,就會隱含地授與資料庫的DESCRIBE權限。然後資料庫會顯示在主控台的 [資料庫] 頁面上,並由 GetDatabases API 作業傳回。
您可以使用具名的資源方法或以 Lake Formation 標籤為基礎的存取控制 (LF-TBAC) 方法來授與權限。
您可以將權限授與相同 AWS 帳戶 或外部帳戶或組織中的主參與者。當您授與外部帳戶或組織時,您將與這些帳戶或組織共用您擁有的資源。然後,這些帳戶或組織中的主參與者可以存取您擁有的資料目錄資源及基礎資料。
注意
目前,LF-TBAC 方法支援將跨帳戶許可授與 IAM 主體 AWS 帳戶、組織和組織單位 (OU)。
當您授與外部帳戶或組織的權限時,您必須包含授與選項。只有外部帳戶中的資料湖管理員才能存取共用資源,直到管理員將共用資源的權限授與外部帳戶中的其他主體為止。
您可以使用 AWS Lake Formation 主控台、API 或 AWS Command Line Interface (AWS CLI) 授與資料目錄權限。
注意
刪除資料目錄資源時,與該資源相關聯的所有權限都將變為無效。重新建立具有相同名稱的相同資源,將不會恢復 Lake Formation 權限。使用者必須再次設定新的權限。
