本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在與您的帳戶共用的資料庫或資料表上授予許可
與您的帳戶 AWS 共用屬於另一個 AWS 帳戶的 Data Catalog 資源後,身為資料湖管理員,您可以將共用資源的許可授予帳戶中的其他主體。不過,您無法將資源的許可授予其他 AWS 帳戶或組織。
您可以使用 AWS Lake Formation 主控台、 API 或 AWS Command Line Interface (AWS CLI) 來授予許可。
授予共用資料庫的許可 (命名資源方法、主控台)
-
請遵循中的說明進行使用具名資源方法授予資料庫許可 在 LF 標籤或目錄資源下的資料庫清單中,請確定您在外部帳戶中選取資料庫,而不是資料庫的資源連結。
如果您在資料庫清單中看不到資料庫,請確定您已接受資料庫的 AWS Resource Access Manager (AWS RAM) 資源共享邀請。如需詳細資訊,請參閱接受來自的資源共用邀請 AWS RAM。
此外,對於
CREATE_TABLE和ALTER許可,請遵循 中的指示授予資料位置許可 (相同帳戶),並請務必在註冊帳戶位置欄位中輸入擁有的帳戶 ID。
授予共用資料表的許可 (命名資源方法、主控台)
-
請遵循中的說明進行使用具名資源方法授予資料表許可 在 LF 標籤或目錄資源下的資料庫清單中,請確定您在外部帳戶中選取資料庫,而不是資料庫的資源連結。
如果您在資料表清單中沒有看到資料表,請確定您已接受 AWS RAM 資料表的資源共享邀請。如需詳細資訊,請參閱接受來自的資源共用邀請 AWS RAM。
此外,針對
ALTER許可,請遵循 中的指示授予資料位置許可 (相同帳戶),並請務必在註冊帳戶位置欄位中輸入擁有的帳戶 ID。
授予共用資源的許可 (LF-TBAC 方法、主控台)
-
請遵循中的說明進行授予 Data Catalog 許可 在 LF-Tags 或目錄資源區段中,授予外部帳戶授予您帳戶的確切 LF-Tag 表達式,或該表達式的子集。
例如,如果外部帳戶使用授予選項將 LF-Tag 表達式授予
module=customers AND environment=production您的帳戶,則身為資料湖管理員,您可以授予該相同表達式,module=customers或environment=production授予您帳戶中的委託人。您只能授予透過 LF-Tag 表達式授予資源的相同或一部分 Lake Formation 許可 (例如ALTER、SELECT等)。
授予共用資料表的許可 (命名資源方法, AWS CLI)
-
輸入與以下相似的命令。在此範例中:
-
AWS 您的帳戶 ID 為 1111-2222-3333。
-
擁有 資料表且授予您 帳戶的 帳戶為 1234-5678-9012。
-
共用資料表上的
SELECT許可正在授予pageviews使用者datalake_user1。該使用者是您帳戶中的委託人。 -
pageviews資料表位於 資料庫中,該analytics資料庫由帳戶 1234-5678-9012 所擁有。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "Table": {"CatalogId":"123456789012", "DatabaseName":"analytics", "Name":"pageviews"}}'請注意,必須在
resource引數的CatalogId屬性中指定擁有帳戶。 -
