本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
您可以將 LF-Tags 上的 DESCRIBE
和 ASSOCIATE
Lake Formation 許可授予委託人,讓他們可以檢視 LF-Tags,並將其指派給 Data Catalog 資源 (資料庫、資料表、檢視和資料欄)。當 LF-Tags 指派給 Data Catalog 資源時,您可以使用 Lake Formation 標籤型存取控制 (LF-TBAC) 方法來保護這些資源。如需詳細資訊,請參閱Lake Formation 標籤型存取控制。
一開始,只有資料湖管理員可以授予這些許可。如果資料湖管理員使用授予選項授予這些許可,其他主體可以授予這些許可。DESCRIBE
和 ASSOCIATE
許可會在 中說明Lake Formation 標籤型存取控制最佳實務和考量事項。
您可以將 LF-Tag 上的 DESCRIBE
和 ASSOCIATE
許可授予外部 AWS 帳戶。然後,該帳戶中的資料湖管理員可以將這些許可授予帳戶中的其他主體。外部帳戶中資料湖管理員授予ASSOCIATE
許可的主體,接著可以將 LF-Tags 指派給您與其帳戶共用的 Data Catalog 資源。
授予外部帳戶時,您必須包含授予選項。
您可以使用 AWS Lake Formation 主控台、 API 或 AWS Command Line Interface () 授予 LF 標籤的許可AWS CLI。
授予 Data Catalog 許可
使用 Lake Formation 主控台或使用 Lake Formation 標籤型存取控制 AWS CLI (LF-TBAC) 方法來授予 Data Catalog 資料庫、資料表、檢視和資料欄的 Lake Formation 許可。
下列步驟說明如何使用 Lake Formation 標籤型存取控制 (LF-TBAC) 方法和 Lake Formation 主控台上的授予資料湖許可頁面來授予許可。頁面分為下列區段:
-
主體 – AWS 帳戶 要授予許可的使用者、角色和 。
-
LF 標籤或目錄資源 – 授予許可的資料庫、資料表或資源連結。
-
許可 – 要授予的 Lake Formation 許可。
-
開啟授予資料湖許可頁面。
在 https://https://console.aws.amazon.com/lakeformation/
開啟 AWS Lake Formation 主控台,並以資料湖管理員或使用者身分登入,該使用者已透過 LF-TBAC 使用 授予選項授予 Data Catalog 資源 Lake Formation 許可。 在導覽窗格中的許可下,選擇 Data lake 許可。然後選擇 授予。
-
指定主體。
在主體區段中,選擇主體類型,然後指定要授予許可的主體。
- IAM 使用者和角色
-
從 IAM 使用者和角色清單中選擇一或多個使用者或角色。
- IAM Identity Center
-
從使用者和群組清單中選擇一或多個使用者或 。
- SAML 使用者和群組
-
對於 SAML 和 Amazon QuickSight 使用者和群組,輸入透過 SAML 聯合的使用者或群組的一或多個 Amazon Resource Name (ARNs),或 Amazon QuickSight 使用者或群組ARNs。在每個 ARN 之後按 Enter。
如需如何建構 ARNs 的資訊,請參閱 Lake Formation 授予和撤銷 AWS CLI 命令。
注意
Lake Formation 與 Amazon QuickSight 整合僅支援 Amazon QuickSight Enterprise Edition。
- 外部帳戶
-
針對 AWS 帳戶、 AWS organization 或 IAM 主體,輸入 IAM 使用者或角色的一或多個有效 AWS 帳戶 IDs、組織 IDs、組織單位 IDs 或 ARN。在每個 ID 之後按 Enter。
組織 ID 包含「o-」,後面接著 10 到 32 個小寫字母或數字。
組織單位 ID 以「ou-」開頭,後面接著 4 到 32 個小寫字母或數字 (包含 OU 的根 ID)。此字串後面接著第二個「-」破折號和 8 到 32 個額外的小寫字母或數字。
-
指定 LF 標籤。
確定已選擇與 LF-Tags 相符的資源選項。選擇 LF-Tag 鍵/值對或儲存的 LF-Tag 表達式。
-
如果您選擇 LF-Tag 鍵/值對選項,請選擇鍵和值。
如果您選擇多個值,則您要使用
OR
運算子建立 LF-Tag 表達式。這表示,如果任何 LF-Tag 值符合指派給 Data Catalog 資源的 LF-Tag,則會授予資源的許可。 -
(選用) 再次選擇新增 LF 標籤鍵值對,以指定另一個 LF 標籤。
如果您指定多個 LF-Tag,則您要使用
AND
運算子建立 LF-Tag 表達式。只有在資源在 LF-Tag 表達式中為每個 LF-Tag 指派相符的 LF-Tag 時,才會在 Data Catalog 資源上授予主體許可。 -
選擇另存為新的表達式選項以重複使用表達式。
您需要
Create LF-Tag expression
儲存表達式。如需 LF-Tag 表達式的詳細資訊,請參閱 管理中繼資料存取控制的 LF-Tag 表達式。
-
-
指定許可。
指定您希望授予主體相符 Data Catalog 資源的許可。比對資源是獲指派的 LF-Tag 的資源,這些資源符合授予委託人的其中一個 LF-Tag 表達式。
您可以指定在相符的資料庫、相符的資料表和相符的檢視上授予 的許可。
在資料庫許可下,選取資料庫許可,以授予相符資料庫的主體。
在資料表許可下,選取資料表或檢視許可,以授予相符資料表和檢視的主體。
您也可以從資料表
Drop
許可中選擇Describe
、Select
和 許可,以套用至檢視。 -
選擇 Grant (授予)。