Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erteilen von Data Lake-Berechtigungen mithilfe der LF-TBAC-Methode
Sie können Prinzipalen die DESCRIBE
und ASSOCIATE
Lake Formation Formation-Berechtigungen für LF-Tags gewähren, sodass sie die LF-Tags anzeigen und sie Datenkatalogressourcen (Datenbanken, Tabellen, Ansichten und Spalten) zuweisen können. Wenn LF-Tags Datenkatalogressourcen zugewiesen werden, können Sie die Tag-Based Access Control-Methode (LF-TBAC) von Lake Formation verwenden, um diese Ressourcen zu sichern. Weitere Informationen finden Sie unter Tag-basierte Zugangskontrolle von Lake Formation.
Zunächst kann nur der Data Lake-Administrator diese Berechtigungen gewähren. Wenn der Data Lake-Administrator diese Berechtigungen mit der Grant-Option erteilt, können sie von anderen Principals erteilt werden. Die ASSOCIATE
Berechtigungen DESCRIBE
und werden unter erklärt. Bewährte Methoden und Überlegungen zur Tag-basierten Zugriffskontrolle von Lake Formation
Sie können die DESCRIBE
und ASSOCIATE
-Berechtigungen für ein LF-Tag einem externen AWS Konto gewähren. Ein Data Lake-Administrator in diesem Konto kann diese Berechtigungen dann anderen Prinzipalen im Konto gewähren. Principals, denen der Data Lake-Administrator des externen Kontos die ASSOCIATE
Berechtigung erteilt, können dann LF-Tags den Datenkatalogressourcen zuweisen, die Sie mit ihrem Konto geteilt haben.
Bei der Gewährung an ein externes Konto müssen Sie die Option „Gewähren“ angeben.
Sie können Berechtigungen für LF-Tags mithilfe der AWS Lake Formation Konsole, der API oder der AWS Command Line Interface ()AWS CLI gewähren.
Weitere Informationen finden Sie auch unter
Erteilen von Datenkatalogberechtigungen
Verwenden Sie die Lake Formation-Konsole oder AWS CLI gewähren Sie Lake Formation Formation-Berechtigungen für Datenkatalogdatenbanken, Tabellen, Ansichten und Spalten mithilfe der Tag-Based Access Control (LF-TBAC) -Methode von Lake Formation.
- Console
-
In den folgenden Schritten wird erklärt, wie Sie mithilfe der Tag-Based Access Control (LF-TBAC) -Methode (Lake Formation, Tag-Based Access Control) und der Seite Data-Lake-Berechtigungen gewähren in der Lake Formation Formation-Konsole Berechtigungen gewähren. Die Seite ist in die folgenden Abschnitte unterteilt:
-
Principals — Die Benutzer, Rollen und Benutzer, denen Berechtigungen erteilt werden AWS-Konten sollen.
-
LF-Tags oder Katalogressourcen — Die Datenbanken, Tabellen oder Ressourcenlinks, für die Berechtigungen erteilt werden sollen.
-
Genehmigungen — Die Lake Formation erteilt Genehmigungen.
-
Öffnen Sie die Seite Data Lake-Berechtigungen gewähren.
Öffnen Sie die AWS Lake Formation Konsole unter https://console.aws.amazon.com/lakeformation/ und melden Sie sich als Data Lake-Administrator oder als Benutzer an, dem Lake Formation Formation-Berechtigungen für Data Catalog-Ressourcen über LF-TBAC mit der Grant-Option erteilt wurden.
Wählen Sie im Navigationsbereich unter Berechtigungen die Option Data Lake-Berechtigungen aus. Wählen Sie dann Grant aus.
-
Geben Sie die Hauptbenutzer an.
Wählen Sie im Abschnitt Principals einen Prinzipaltyp aus und geben Sie dann die Principals an, denen Berechtigungen erteilt werden sollen.
- IAM-Benutzer und -Rollen
-
Wählen Sie einen oder mehrere Benutzer oder Rollen aus der Liste der IAM-Benutzer und -Rollen aus.
- IAM Identity Center
-
Wählen Sie einen oder mehrere Benutzer oder aus der Liste Benutzer und Gruppen aus.
- SAML-Benutzer und -Gruppen
-
Geben Sie für SAML- und QuickSight Amazon-Benutzer und -Gruppen einen oder mehrere Amazon-Ressourcennamen (ARNs) für über SAML verbundene Benutzer oder Gruppen oder ARNs für Amazon-Benutzer oder -Gruppen ein. QuickSight Drücken Sie nach jedem ARN die Eingabetaste.
Informationen zur Erstellung der ARNs finden Sie unterLake Formation erteilt und widerruft AWS CLI Befehle.
Die Integration von Lake Formation mit Amazon QuickSight wird nur für die Amazon QuickSight Enterprise Edition unterstützt.
- Externe Konten
-
Geben Sie für AWS-Konten AWS Organisation oder IAM-Principal eine oder mehrere gültige AWS-Konto IDs, Organisations-IDs, Organisationseinheiten-IDs oder ARN für den IAM-Benutzer oder die IAM-Rolle ein. Drücken Sie nach jeder ID die Eingabetaste.
Eine Organisations-ID besteht aus „o-“, gefolgt von 10 bis 32 Kleinbuchstaben oder Ziffern.
Eine Organisationseinheit-ID beginnt mit „ou-“, gefolgt von 4 bis 32 Kleinbuchstaben oder Ziffern (der ID des Stammes, der die Organisationseinheit enthält). Auf diese Zeichenfolge folgen ein zweiter Gedankenstrich „-“ und 8 bis 32 zusätzliche Kleinbuchstaben oder Ziffern.
-
Geben Sie die LF-Tags an.
Stellen Sie sicher, dass die Option Ressourcen, denen LF-Tags zugeordnet sind, ausgewählt ist. Wählen Sie LF-Tag hinzufügen.
-
Wählen Sie einen LF-Tag-Schlüssel und Werte aus.
Wenn Sie mehr als einen Wert wählen, erstellen Sie einen LF-Tag-Ausdruck mit einem Operator. OR
Das bedeutet, dass Ihnen Berechtigungen für die Ressource erteilt werden, wenn einer der LF-Tag-Werte mit einem LF-Tag übereinstimmt, der einer Datenkatalogressource zugewiesen ist.
-
(Optional) Wählen Sie erneut „LF-Tag hinzufügen“, um ein anderes LF-Tag anzugeben.
Wenn Sie mehr als ein LF-Tag angeben, erstellen Sie einen LF-Tag-Ausdruck mit einem Operator. AND
Dem Prinzipal werden nur dann Berechtigungen für eine Datenkatalogressource gewährt, wenn der Ressource für jedes LF-Tag im LF-Tag-Ausdruck ein passendes LF-Tag zugewiesen wurde.
-
Geben Sie die Berechtigungen an.
Geben Sie die Berechtigungen an, die Sie dem Prinzipal für entsprechende Datenkatalogressourcen gewähren möchten. Passende Ressourcen sind Ressourcen, denen LF-Tags zugewiesen wurden, die einem der LF-Tag-Ausdrücke entsprechen, die dem Prinzipal erteilt wurden.
Sie können die Berechtigungen angeben, die für übereinstimmende Datenbanken, übereinstimmende Tabellen und übereinstimmende Ansichten gewährt werden sollen.
Wählen Sie unter Datenbankberechtigungen die Datenbankberechtigungen aus, die Sie dem Prinzipal für passende Datenbanken gewähren möchten.
Wählen Sie unter Tabellenberechtigungen die Tabellen- oder Anzeigeberechtigungen aus, die dem Prinzipal für übereinstimmende Tabellen und Ansichten erteilt werden sollen.
Sie können auch Select
Describe
, und Drop
Berechtigungen aus den Tabellenberechtigungen auswählen, die auf Ansichten angewendet werden sollen.
-
Wählen Sie Gewähren.
- AWS CLI
-
Sie können die Methode AWS Command Line Interface (AWS CLI) und die Tag-Based Access Control (LF-TBAC) -Methode (Lake Formation) verwenden, um Lake Formation Formation-Berechtigungen für Data Catalog-Datenbanken, -Tabellen und -Spalten zu gewähren.
Erteilen von Data-Lake-Berechtigungen mithilfe der und der LF-TBAC-Methode AWS CLI