本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
下列步驟說明如何使用具名資源方法授予目錄許可。
使用 Lake Formation 主控台上的授予資料湖許可頁面。頁面分為下列區段:
-
委託人 – IAM 使用者、角色、IAM Identity Center 使用者和群組、SAML 使用者和群組、 AWS 帳戶、組織或組織單位以授予許可。
-
LF 標籤或目錄資源 – 授予許可的目錄、資料庫、資料表、檢視或資源連結。
-
許可 – 要授予的 Lake Formation 許可。
注意
若要授予資料庫資源連結的許可,請參閱 授予資源連結許可。
開啟授予資料湖許可頁面。
在 https://https://console.aws.amazon.com/lakeformation/
開啟 AWS Lake Formation 主控台,並以資料湖管理員、資料庫建立者或對資料庫具有可授予許可的 IAM 使用者身分登入。 執行以下任意一項:
-
在導覽窗格中的許可下,選擇 Data lake 許可。然後選擇 授予。
-
在導覽窗格中,選擇 Data Catalog 下的目錄。 然後,在目錄頁面上,選擇目錄,然後從動作功能表的許可下,選擇授予。
注意
您可以透過目錄的資源連結授予目錄許可。若要這樣做,請在目錄頁面上選擇目錄連結容器,然後在動作功能表中選擇對目標授予。如需詳細資訊,請參閱資源連結在 Lake Formation 中如何運作。
-
-
接下來,在主體區段中,選擇主體類型,然後指定要授予許可的主體。
- IAM 使用者和角色
-
從 IAM 使用者和角色清單中選擇一或多個使用者或角色。
- IAM Identity Center
-
從使用者和群組清單中選擇一或多個使用者或群組。選取新增以新增更多使用者或群組。
- SAML 使用者和群組
-
對於 SAML 和 Amazon QuickSight 使用者和群組,輸入透過 SAML 聯合的使用者或群組的一或多個 Amazon Resource Name (ARNs),或 Amazon QuickSight 使用者或群組ARNs。在每個 ARN 之後按 Enter。
如需有關如何建構 ARNs 的資訊,請參閱 Lake Formation 授予和撤銷 AWS CLI 命令。
注意
Lake Formation 與 Amazon QuickSight 的整合僅支援 Amazon QuickSight Enterprise Edition。
- 外部帳戶
-
針對 AWS 帳戶、 AWS organization 或 IAM Principal,輸入一或多個有效的 AWS 帳戶 IDs、組織 IDs、組織單位 IDs 或 IAM 使用者或角色的 ARN。在每個 ID 之後按 Enter。
組織 ID 包含「o-」,後面接著 10-32 個小寫字母或數字。
組織單位 ID 以「ou-」開頭,後面接著 4-32 個小寫字母或數字 (包含 OU 的根 ID)。此字串後面接著第二個「-」破折號和 8 到 32 個額外的小寫字母或數字。
-
在 LF 標籤或目錄資源區段中,選擇具名資料目錄資源。
-
從目錄清單中選擇一或多個目錄。您也可以選擇一或多個資料庫、資料表和/或資料篩選條件。
-
在目錄許可區段中,選取許可和可授予的許可。在目錄許可下,選取要授予的一或多個許可。
選擇超級使用者以授予不受限制的管理權限,對目錄內的所有資源 (資料庫、資料表和檢視) 執行任何操作。
注意
在具有指向已註冊位置之位置屬性的目錄
Alter
上授予Create database
或 之後,請務必同時將位置上的資料位置許可授予委託人。如需詳細資訊,請參閱授予資料位置許可。 -
(選用) 在可授予許可下,選取授予收件人可以授予其 AWS 帳戶中其他主體的許可。當您從外部帳戶授予許可給 IAM 主體時,不支援此選項。
-
選擇 Grant (授予)。