選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

使用 LF-TBAC 方法授予資料湖許可

焦點模式
使用 LF-TBAC 方法授予資料湖許可 - AWS Lake Formation

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

您可以將 LF-Tags 上的 DESCRIBEASSOCIATE Lake Formation 許可授予委託人,讓他們可以檢視 LF-Tags,並將其指派給 Data Catalog 資源 (資料庫、資料表、檢視和資料欄)。當 LF-Tags 指派給 Data Catalog 資源時,您可以使用 Lake Formation 標籤型存取控制 (LF-TBAC) 方法來保護這些資源。如需詳細資訊,請參閱Lake Formation 標籤型存取控制

一開始,只有資料湖管理員可以授予這些許可。如果資料湖管理員使用授予選項授予這些許可,其他主體可以授予這些許可。DESCRIBEASSOCIATE許可會在 中說明Lake Formation 標籤型存取控制最佳實務和考量事項

您可以將 LF-Tag 上的 DESCRIBEASSOCIATE許可授予外部 AWS 帳戶。然後,該帳戶中的資料湖管理員可以將這些許可授予帳戶中的其他主體。外部帳戶中資料湖管理員授予ASSOCIATE許可的主體,接著可以將 LF-Tags 指派給您與其帳戶共用的 Data Catalog 資源。

授予外部帳戶時,您必須包含授予選項。

您可以使用 AWS Lake Formation 主控台、 API 或 AWS Command Line Interface () 授予 LF 標籤的許可AWS CLI。

授予 Data Catalog 許可

使用 Lake Formation 主控台或使用 Lake Formation 標籤型存取控制 AWS CLI (LF-TBAC) 方法來授予 Data Catalog 資料庫、資料表、檢視和資料欄的 Lake Formation 許可。

Console

下列步驟說明如何使用 Lake Formation 標籤型存取控制 (LF-TBAC) 方法和 Lake Formation 主控台上的授予資料湖許可頁面來授予許可。頁面分為下列區段:

  • 主體 – AWS 帳戶 要授予許可的使用者、角色和 。

  • LF 標籤或目錄資源 – 授予許可的資料庫、資料表或資源連結。

  • 許可 – 要授予的 Lake Formation 許可。

  1. 開啟授予資料湖許可頁面。

    在 https://https://console.aws.amazon.com/lakeformation/ 開啟 AWS Lake Formation 主控台,並以資料湖管理員或使用者身分登入,該使用者已透過 LF-TBAC 使用 授予選項授予 Data Catalog 資源 Lake Formation 許可。

    在導覽窗格中的許可下,選擇 Data lake 許可。然後選擇 授予

  2. 指定主體。

    主體區段中,選擇主體類型,然後指定要授予許可的主體。

    主體區段包含以下文字中命名的四個圖磚。每個圖磚都包含選項按鈕和文字。已選取 IAM Identity Center 圖磚,使用者和群組下拉式清單位於圖磚下方。
    IAM 使用者和角色

    IAM 使用者和角色清單中選擇一或多個使用者或角色

    IAM Identity Center

    從使用者和群組清單中選擇一或多個使用者或 。

    SAML 使用者和群組

    對於 SAML 和 Amazon QuickSight 使用者和群組,輸入透過 SAML 聯合的使用者或群組的一或多個 Amazon Resource Name (ARNs),或 Amazon QuickSight 使用者或群組ARNs。在每個 ARN 之後按 Enter。

    如需如何建構 ARNs 的資訊,請參閱 Lake Formation 授予和撤銷 AWS CLI 命令

    注意

    Lake Formation 與 Amazon QuickSight 整合僅支援 Amazon QuickSight Enterprise Edition。

    外部帳戶

    針對 AWS 帳戶、 AWS organizationIAM 主體,輸入 IAM 使用者或角色的一或多個有效 AWS 帳戶 IDs、組織 IDs、組織單位 IDs 或 ARN。在每個 ID 之後按 Enter

    組織 ID 包含「o-」,後面接著 10 到 32 個小寫字母或數字。

    組織單位 ID 以「ou-」開頭,後面接著 4 到 32 個小寫字母或數字 (包含 OU 的根 ID)。此字串後面接著第二個「-」破折號和 8 到 32 個額外的小寫字母或數字。

  3. 指定 LF 標籤。

    確定已選擇與 LF-Tags 相符的資源選項。選擇 LF-Tag 鍵/值對儲存的 LF-Tag 表達式

    1. 如果您選擇 LF-Tag 鍵/值對選項,請選擇鍵和值。

      如果您選擇多個值,則您要使用 OR 運算子建立 LF-Tag 表達式。這表示,如果任何 LF-Tag 值符合指派給 Data Catalog 資源的 LF-Tag,則會授予資源的許可。

      LF 標籤或目錄資源區段包含兩個水平排列的圖磚,其中每個圖磚都包含選項按鈕和描述性文字。這些選項是 LF-Tags (建議) 比對的資源,以及具名資料目錄資源。已選取符合 LF-Tags 的資源。圖磚下方是索引鍵欄位和水平排列的值欄位。金鑰欄位包含「模組」,而值欄位是下拉式清單,其中包含三個項目:訂單、銷售和客戶。每個項目都有相關聯的核取方塊。已選取客戶的核取方塊。這兩個欄位的右側是移除按鈕。底部是新增 LF 標籤按鈕,表示您可以新增包含金鑰和值欄位和移除按鈕的另一列。
    2. (選用) 再次選擇新增 LF 標籤鍵值對,以指定另一個 LF 標籤。

      如果您指定多個 LF-Tag,則您要使用 AND 運算子建立 LF-Tag 表達式。只有在資源在 LF-Tag 表達式中為每個 LF-Tag 指派相符的 LF-Tag 時,才會在 Data Catalog 資源上授予主體許可。

    3. 選擇另存為新的表達式選項以重複使用表達式。

      您需要Create LF-Tag expression儲存表達式。

      如需 LF-Tag 表達式的詳細資訊,請參閱 管理中繼資料存取控制的 LF-Tag 表達式

  4. 指定許可。

    指定您希望授予主體相符 Data Catalog 資源的許可。比對資源是獲指派的 LF-Tag 的資源,這些資源符合授予委託人的其中一個 LF-Tag 表達式。

    您可以指定在相符的資料庫、相符的資料表和相符的檢視上授予 的許可。

    頁面會顯示兩個區段。資料庫許可區段包含資料庫許可和可授與許可的核取方塊。在資料庫區段下方,資料表許可區段會顯示資料表許可和可授與許可的核取方塊。

    資料庫許可下,選取資料庫許可,以授予相符資料庫的主體。

    資料表許可下,選取資料表或檢視許可,以授予相符資料表和檢視的主體。

    您也可以從資料表Drop許可中選擇 DescribeSelect和 許可,以套用至檢視。

  5. 選擇 Grant (授予)。

AWS CLI

您可以使用 AWS Command Line Interface (AWS CLI) 和 Lake Formation 標籤型存取控制 (LF-TBAC) 方法,授予 Data Catalog 資料庫、資料表和資料欄的 Lake Formation 許可。

使用 AWS CLI 和 LF-TBAC 方法授予資料湖許可
  • 使用 grant-permissions 命令。

    下列範例會將 LF-Tag 表達式 "module=*" (LF-Tag 金鑰 的所有值module) 授予使用者 datalake_user1。該使用者將擁有所有相符資料庫的CREATE_TABLE許可,這些資料庫已使用索引鍵 指派 LF-Tagmodule,且具有任何值。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["*"]}]}}'

    下一個範例會將 LF-Tag 表達式 "(level=director) AND (region=west OR region=south)" 授予使用者 datalake_user1。該使用者將擁有 SELECT、 和 DROP許可ALTER,並在相符的資料表上具有授予選項 - 同時指派了 level=director和 (region=west 或 ) 的資料表region=south

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" "DROP" --permissions-with-grant-option "SELECT" "ALTER" "DROP" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"TABLE","Expression": [{"TagKey": "level","TagValues": ["director"]},{"TagKey": "region","TagValues": ["west", "south"]}]}}'

    下一個範例會將 LF-Tag 表達式 "module=orders" 授予 AWS 帳戶 1234-5678-9012。然後,該帳戶中的資料湖管理員可以將「module=orders」表達式授予其帳戶中的主體。然後,這些委託人將擁有與帳戶 1111-2222-3333 擁有的資料庫相符的CREATE_TABLE許可,並使用具名資源方法或 LF-TBAC 方法與帳戶 1234-5678-9012 共用。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["orders"]}]}}'

下列步驟說明如何使用 Lake Formation 標籤型存取控制 (LF-TBAC) 方法和 Lake Formation 主控台上的授予資料湖許可頁面來授予許可。頁面分為下列區段:

  • 主體 – AWS 帳戶 要授予許可的使用者、角色和 。

  • LF 標籤或目錄資源 – 授予許可的資料庫、資料表或資源連結。

  • 許可 – 要授予的 Lake Formation 許可。

  1. 開啟授予資料湖許可頁面。

    在 https://https://console.aws.amazon.com/lakeformation/ 開啟 AWS Lake Formation 主控台,並以資料湖管理員或使用者身分登入,該使用者已透過 LF-TBAC 使用 授予選項授予 Data Catalog 資源 Lake Formation 許可。

    在導覽窗格中的許可下,選擇 Data lake 許可。然後選擇 授予

  2. 指定主體。

    主體區段中,選擇主體類型,然後指定要授予許可的主體。

    主體區段包含以下文字中命名的四個圖磚。每個圖磚都包含選項按鈕和文字。已選取 IAM Identity Center 圖磚,使用者和群組下拉式清單位於圖磚下方。
    IAM 使用者和角色

    IAM 使用者和角色清單中選擇一或多個使用者或角色

    IAM Identity Center

    從使用者和群組清單中選擇一或多個使用者或 。

    SAML 使用者和群組

    對於 SAML 和 Amazon QuickSight 使用者和群組,輸入透過 SAML 聯合的使用者或群組的一或多個 Amazon Resource Name (ARNs),或 Amazon QuickSight 使用者或群組ARNs。在每個 ARN 之後按 Enter。

    如需如何建構 ARNs 的資訊,請參閱 Lake Formation 授予和撤銷 AWS CLI 命令

    注意

    Lake Formation 與 Amazon QuickSight 整合僅支援 Amazon QuickSight Enterprise Edition。

    外部帳戶

    針對 AWS 帳戶、 AWS organizationIAM 主體,輸入 IAM 使用者或角色的一或多個有效 AWS 帳戶 IDs、組織 IDs、組織單位 IDs 或 ARN。在每個 ID 之後按 Enter

    組織 ID 包含「o-」,後面接著 10 到 32 個小寫字母或數字。

    組織單位 ID 以「ou-」開頭,後面接著 4 到 32 個小寫字母或數字 (包含 OU 的根 ID)。此字串後面接著第二個「-」破折號和 8 到 32 個額外的小寫字母或數字。

  3. 指定 LF 標籤。

    確定已選擇與 LF-Tags 相符的資源選項。選擇 LF-Tag 鍵/值對儲存的 LF-Tag 表達式

    1. 如果您選擇 LF-Tag 鍵/值對選項,請選擇鍵和值。

      如果您選擇多個值,則您要使用 OR 運算子建立 LF-Tag 表達式。這表示,如果任何 LF-Tag 值符合指派給 Data Catalog 資源的 LF-Tag,則會授予資源的許可。

      LF 標籤或目錄資源區段包含兩個水平排列的圖磚,其中每個圖磚都包含選項按鈕和描述性文字。這些選項是 LF-Tags (建議) 比對的資源,以及具名資料目錄資源。已選取符合 LF-Tags 的資源。圖磚下方是索引鍵欄位和水平排列的值欄位。金鑰欄位包含「模組」,而值欄位是下拉式清單,其中包含三個項目:訂單、銷售和客戶。每個項目都有相關聯的核取方塊。已選取客戶的核取方塊。這兩個欄位的右側是移除按鈕。底部是新增 LF 標籤按鈕,表示您可以新增包含金鑰和值欄位和移除按鈕的另一列。
    2. (選用) 再次選擇新增 LF 標籤鍵值對,以指定另一個 LF 標籤。

      如果您指定多個 LF-Tag,則您要使用 AND 運算子建立 LF-Tag 表達式。只有在資源在 LF-Tag 表達式中為每個 LF-Tag 指派相符的 LF-Tag 時,才會在 Data Catalog 資源上授予主體許可。

    3. 選擇另存為新的表達式選項以重複使用表達式。

      您需要Create LF-Tag expression儲存表達式。

      如需 LF-Tag 表達式的詳細資訊,請參閱 管理中繼資料存取控制的 LF-Tag 表達式

  4. 指定許可。

    指定您希望授予主體相符 Data Catalog 資源的許可。比對資源是獲指派的 LF-Tag 的資源,這些資源符合授予委託人的其中一個 LF-Tag 表達式。

    您可以指定在相符的資料庫、相符的資料表和相符的檢視上授予 的許可。

    頁面會顯示兩個區段。資料庫許可區段包含資料庫許可和可授與許可的核取方塊。在資料庫區段下方,資料表許可區段會顯示資料表許可和可授與許可的核取方塊。

    資料庫許可下,選取資料庫許可,以授予相符資料庫的主體。

    資料表許可下,選取資料表或檢視許可,以授予相符資料表和檢視的主體。

    您也可以從資料表Drop許可中選擇 DescribeSelect和 許可,以套用至檢視。

  5. 選擇 Grant (授予)。

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。