授予許可給與您的帳戶共用的資料位置 - AWS Lake Formation

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授予許可給與您的帳戶共用的資料位置

與 AWS 您的帳戶共用 Data Catalog 資源後,身為 Data Lake 管理員,您可以將資源的許可授予帳戶中的其他主體。如果在共用資料表上授予ALTER許可,且資料表指向已註冊的 Amazon S3 位置,則您也必須在該位置上授予資料位置許可。同樣地,如果在共用資料庫上授予 CREATE_TABLEALTER許可,且資料庫具有指向已註冊位置的位置屬性,您也必須在該位置授予資料位置許可。

若要將共用位置上的資料位置許可授予您帳戶中的委託人,您的帳戶必須已使用授予選項授予該位置的DATA_LOCATION_ACCESS許可。然後,當您DATA_LOCATION_ACCESS將 授予帳戶中的另一個主體時,您必須包含擁有者帳戶的資料目錄 ID (AWS 帳戶 ID)。擁有者帳戶是註冊位置的帳戶。

您可以使用 AWS Lake Formation 主控台、 API或 AWS Command Line Interface (AWS CLI 授予資料位置許可。

授予與您的帳戶共用之資料位置的許可 (主控台)
授予與您的帳戶共用之資料位置的許可 (AWS CLI)
  • 輸入下列其中一個命令,將許可授予使用者或角色。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/<user-name> --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>","ResourceArn":"arn:aws:s3:::<s3-location>"}}' aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:role/<role-name> --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>","ResourceArn":"arn:aws:s3:::<s3-location>"}}'