本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
授予許可給與您的帳戶共用的資料位置
與 AWS 您的帳戶共用 Data Catalog 資源後,身為 Data Lake 管理員,您可以將資源的許可授予帳戶中的其他主體。如果在共用資料表上授予ALTER
許可,且資料表指向已註冊的 Amazon S3 位置,則您也必須在該位置上授予資料位置許可。同樣地,如果在共用資料庫上授予 CREATE_TABLE
或 ALTER
許可,且資料庫具有指向已註冊位置的位置屬性,您也必須在該位置授予資料位置許可。
若要將共用位置上的資料位置許可授予您帳戶中的委託人,您的帳戶必須已使用授予選項授予該位置的DATA_LOCATION_ACCESS
許可。然後,當您DATA_LOCATION_ACCESS
將 授予帳戶中的另一個主體時,您必須包含擁有者帳戶的資料目錄 ID (AWS 帳戶 ID)。擁有者帳戶是註冊位置的帳戶。
您可以使用 AWS Lake Formation 主控台、 API或 AWS Command Line Interface (AWS CLI 授予資料位置許可。
授予與您的帳戶共用之資料位置的許可 (主控台)
-
請遵循 授予資料位置許可 (相同帳戶) 中的步驟。
對於儲存位置 ,您必須輸入位置。針對註冊帳戶位置 ,輸入擁有者帳戶的帳戶 AWS ID。
授予與您的帳戶共用之資料位置的許可 (AWS CLI)
-
輸入下列其中一個命令,將許可授予使用者或角色。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::
<account-id>
:user/<user-name>
--permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>
","ResourceArn":"arn:aws:s3:::<s3-location>
"}}' aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>
:role/<role-name>
--permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>
","ResourceArn":"arn:aws:s3:::<s3-location>
"}}'