Referenz für Lake-Formation-Berechtigungen - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Referenz für Lake-Formation-Berechtigungen

Führen Sie ausAWS Lake FormationOperationen, Prinzipale benötigen sowohl Lake Formation Formation-Berechtigungen als auchAWS Identity and Access Management(IAM) Berechtigungen. In der Regel erteilen Sie IAM-Berechtigungen mitgrobkörnigRichtlinien zur Zugriffssteuerung, wie unterÜbersicht über die Zugangskontrolle zur Lake Formaus. Sie können Lake Formation Formation-Berechtigungen erteilen, indem Sie die Konsole, die API oder dieAWS Command Line Interface(AWS CLI) enthalten.

Wie Sie Lake Formation Formation-Berechtigungen erteilen oder widerrufen können, finden Sie unterErteilen und Widerrufen von Berechtigungen für DatenkatalogressourcenundBerechtigungen für den Datenspeicherortaus.

Anmerkung

Die Beispiele in diesem Abschnitt zeigen, wie Sie Berechtigungen für Prinzipale im selbenAWSKonto. Beispiele für kontenübergreifende Zuschüsse finden Sie unterLake-Formation-Berechtigungen im Überblick aus.

Lake Formation Grant und WiderrufAWS CLIBefehle

Jede Berechtigungsbeschreibung in diesem Abschnitt enthält Beispiele für die Erteilung der Berechtigung mit einemAWS CLIbefehl. Im Folgenden sind die Synopsen der Lake Formationgrant-permissionsundrevoke-permissions AWS CLI-Befehle.

grant-permissions [--catalog-id <value>] --principal <value> --resource <value> --permissions <value> [--permissions-with-grant-option <value>] [--cli-input-json <value>] [--generate-cli-skeleton <value>]
revoke-permissions [--catalog-id <value>] --principal <value> --resource <value> --permissions <value> [--permissions-with-grant-option <value>] [--cli-input-json <value>] [--generate-cli-skeleton <value>]

Detaillierte Beschreibungen dieser Befehle finden Sie unterErteilende BerechtigungenundWiderrufen von BerechtigungenimAWS CLIBefehlsreferenzaus. Dieser Abschnitt enthält zusätzliche Informationen über die--principalOption.

Der Wert des--principal-Option ist eine der folgenden Optionen:

  • Amazon-Ressourcenname (ARN) für eineAWS Identity and Access Management(IAM) -Benutzer oder Rolle

  • ARN für einen Benutzer oder eine Gruppe, die sich über einen SAML-Anbieter authentifiziert, z. B. den Microsoft Active Directory-Verbunddienst (AD FS)

  • ARN für einen Amazon QuickSight QuickSight-Benutzer oder -Gruppe

  • Für kontenübergreifende Berechtigungen wird der ARN für eineAWSKonto-ID, Organisations-ID oder ID der Organisationseinheit

Im Folgenden finden Sie Syntax und Beispiele für alle--principal-Typen.

Prinzipal ist ein IAM-Benutzer

Syntax:

--principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/<user-name>

Beispiel:

--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1
Prinzipal ist eine IAM-Rolle

Syntax:

--principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:role/<role-name>

Beispiel:

--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:role/workflowrole
Principal ist ein Benutzer, der sich über einen SAML-Anbieter authentifiziert

Syntax:

--principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:saml-provider/<SAMLproviderName>:user/<user-name>

Beispiele:

--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:saml-provider/idp1:user/datalake_user1
--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:saml-provider/AthenaLakeFormationOkta:user/athena-user@example.com
Principal ist eine Gruppe, die sich über einen SAML-Anbieter authentifiziert

Syntax:

--principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:saml-provider/<SAMLproviderName>:group/<group-name>

Beispiele:

--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:saml-provider/idp1:group/data-scientists
--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:saml-provider/AthenaLakeFormationOkta:group/my-group
Principal ist ein Amazon QuickSight Enterprise Edition-Benutzer

Syntax:

--principal DataLakePrincipalIdentifier=arn:aws:quicksight:<region>:<account-id>:user/<namespace>/<user-name>
Anmerkung

Für<namespace>angeben, müssen Sie angebendefaultaus.

Beispiel:

--principal DataLakePrincipalIdentifier=arn:aws:quicksight:us-east-1:111122223333:user/default/bi_user1
Principal ist eine Amazon QuickSight Enterprise Edition-Gruppe

Syntax:

--principal DataLakePrincipalIdentifier=arn:aws:quicksight:<region>:<account-id>:group/<namespace>/<group-name>
Anmerkung

Für<namespace>angeben, müssen Sie angebendefaultaus.

Beispiel:

--principal DataLakePrincipalIdentifier=arn:aws:quicksight:us-east-1:111122223333:group/default/data_scientists
Prinzipal ist einAWSKonto

Syntax:

--principal DataLakePrincipalIdentifier=<account-id>

Beispiel:

--principal DataLakePrincipalIdentifier=111122223333
Prinzipal ist eine Organisation

Syntax:

--principal DataLakePrincipalIdentifier=arn:aws:organizations::<account-id>:organization/<organization-id>

Beispiel:

--principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl
Prinzipal ist eine Organisationseinheit

Syntax:

--principal DataLakePrincipalIdentifier=arn:aws:organizations::<account-id>:ou/<organization-id>/<organizational-unit-id>

Beispiel:

--principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:ou/o-abcdefghijkl/ou-ab00-cdefghij

ALTER

Berechtigung Auf dieser Ressource gewährt Berechtigungsempfängerbedarf
ALTER DATABASE glue:UpdateDatabase
ALTER TABLE glue:UpdateTable

Ein Prinzipal mit dieser Berechtigung kann Metadaten für eine Datenbank oder Tabelle im Datenkatalog ändern. Für Tabellen können Sie das Spaltenschema ändern und Spaltenparameter hinzufügen. Sie können keine Spalten in den zugrunde liegenden Daten ändern, auf die eine Metadatentabelle verweist.

Wenn es sich bei der zu ändernden Eigenschaft um einen registrierten Amazon Simple Storage Service (Amazon S3) -Standort handelt, muss der Prinzipal über Datenspeicherberechtigungen für den neuen Standort verfügen.

Im folgenden Beispiel wird dieALTERBerechtigung zum -Benutzerdatalake_user1In der -DatenbankretailinAWS-Konto 1111-2222-3333.

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ALTER" --resource '{ "Database": {"Name":"retail"}}'

Im folgenden Beispiel wird die Zuschüsse übertragenALTERan Benutzerdatalake_user1auf dem TischinventoryIn der -Datenbankretailaus.

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ALTER" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'

CREATE_DATABASE

Berechtigung Auf dieser Ressource gewährt Berechtigungsempfängerbedarf
CREATE_DATABASE Data Catalog glue:CreateDatabase

Ein Prinzipal mit dieser Berechtigung kann eine Metadatendatenbank oder einen Ressourcenlink im Datenkatalog erstellen. Der Prinzipal kann auch Tabellen in der -Datenbank erstellen.

Im folgenden Beispiel wird die Zuschüsse übertragenCREATE_DATABASEan Benutzerdatalake_user1inAWS-Konto 1111-2222-3333.

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}'

Wenn ein Prinzipal eine Datenbank im Datenkatalog erstellt, werden keine Berechtigungen für zugrunde liegende Daten erteilt. Die folgenden zusätzlichen Metadatenberechtigungen werden erteilt (zusammen mit der Möglichkeit, diese Berechtigungen anderen zu erteilen):

  • CREATE_TABLEIn der -Datenbank

  • ALTER-Datenbank

  • DROP-Datenbank

Beim Erstellen einer -Datenbank kann der Prinzipal optional einen Amazon S3 S3-Speicherort angeben. Je nachdem, ob der Prinzipal über Datenspeicherungsberechtigungen verfügt, wird derCREATE_DATABASEDie Berechtigung reicht möglicherweise nicht aus, um Datenbanken in allen Fällen zu erstellen. Es ist wichtig, die folgenden drei Fälle zu beachten.

Anwendungsfall einer Datenbank erstellen Benötigte Berechtigungen
Die Location-Eigenschaft ist nicht spezifiziert. CREATE_DATABASEEs ist ausreichend.
Die Standorteigenschaft wird angegeben und der Standort wird nicht von Lake Formation verwaltet (ist nicht registriert). CREATE_DATABASEEs ist ausreichend.
Die Standorteigenschaft wird angegeben und der Standort wird von Lake Formation verwaltet (ist registriert). CREATE_DATABASEist erforderlich plus Datenstandortberechtigungen für den angegebenen Speicherort.

CREATE_TABLE

Berechtigung Auf dieser Ressource gewährt Berechtigungsempfängerbedarf
CREATE_TABLE DATABASE glue:CreateTable

Ein Prinzipal mit dieser Berechtigung kann eine Metadatentabelle oder einen Ressourcenlink im Datenkatalog innerhalb der angegebenen Datenbank erstellen.

Im folgenden Beispiel wird der Benutzer übertragendatalake_user1Berechtigung zum Erstellen von Tabellen imretail-Datenbank inAWS-Konto 1111-2222-3333.

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'

Wenn ein Prinzipal eine Tabelle im Datenkatalog erstellt, werden dem Prinzipal alle Lake Formation Formation-Berechtigungen für die Tabelle erteilt, mit der Möglichkeit, diese Berechtigungen anderen zu erteilen.

Kontoübergreifende Erträge

Wenn ein Datenbankbesitzer -Konto erteiltCREATE_TABLEfür ein Empfängerkonto und ein Benutzer im Empfängerkonto erstellt erfolgreich eine Tabelle in der Datenbank des Eigentümerkontos, gelten die folgenden Regeln:

  • Die Benutzer- und Data Lake-Administratoren im Empfängerkonto verfügen über alle Lake Formation Formation-Berechtigungen für die Tabelle. Sie können anderen Prinzipalen in ihrem Konto Berechtigungen für die Tabelle erteilen. Sie können Prinzipalen im Eigentümerkonto oder anderen Konten keine Berechtigungen erteilen.

  • Data Lake-Administratoren im Eigentümerkonto können anderen Prinzipalen in ihrem Konto Berechtigungen für die Tabelle erteilen.

Berechtigungen für Datenspeicherort

Wenn Sie versuchen, eine Tabelle zu erstellen, die auf einen Amazon S3 S3-Standort verweist, je nachdem, ob Sie über Berechtigungen für den Datenstandort verfügen,CREATE_TABLEBerechtigung reicht möglicherweise nicht aus, um eine Tabelle zu erstellen. Es ist wichtig, die folgenden drei Fälle im Auge zu behalten.

Tabellen-Anwendungsfall erstellen Benötigte Berechtigungen
Der angegebene Standort wird nicht von Lake Formation verwaltet (ist nicht registriert). CREATE_TABLEEs ist ausreichend.
Der angegebene Standort wird von Lake Formation verwaltet (ist registriert), und die enthaltende Datenbank hat keine Standorteigenschaft oder hat eine Standorteigenschaft, die kein Amazon S3-Präfix des Tabellenspeicherorts ist. CREATE_TABLEist erforderlich plus Datenstandortberechtigungen für den angegebenen Speicherort.
Der angegebene Standort wird von Lake Formation verwaltet (ist registriert), und die enthaltende Datenbank verfügt über eine Standorteigenschaft, die auf einen registrierten Ort verweist und ein Amazon S3-Präfix des Tabellenspeicherorts ist. CREATE_TABLEEs ist ausreichend.

DATA_LOCATION_ACCESS

Berechtigung Auf dieser Ressource gewährt Berechtigungsempfängerbedarf
DATA_LOCATION_ACCESS Amazon S3 S3-Speicherort (Amazon S3 S3-Berechtigungen für den Standort, die durch die Rolle angegeben werden müssen, die zur Registrierung des Standorts verwendet wurde.)

Dies ist die einzige Berechtigung für den Datenstandort. Ein Prinzipal mit dieser Berechtigung kann eine Metadatendatenbank oder Tabelle erstellen, die auf den angegebenen Amazon S3 S3-Speicherort verweist. Der Speicherort muss registriert sein. Ein Prinzipal, der über Datenstandortberechtigungen für einen Standort verfügt, verfügt auch über Standortberechtigungen für untergeordnete Standorte.

Im folgenden Beispiel wird die Datenspeicher-Berechtigungen fürs3://products/retailan Benutzerdatalake_user1inAWS-Konto 1111-2222-3333.

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::products/retail"}}'

DATA_LOCATION_ACCESSwird nicht benötigt, um zugrunde liegende Daten abzufragen oder zu aktualisieren. Diese Berechtigung gilt nur für das Erstellen von Datenkatalog-Ressourcen.

Weitere Informationen zu -Berechtigungen für -Speicherort finden Sie unterUnderlying Data Access Controlaus.

DELETE

Berechtigung Auf dieser Ressource gewährt Berechtigungsempfängerbedarf
DELETE TABLE (Wenn der Standort registriert ist, sind keine zusätzlichen IAM-Berechtigungen erforderlich.)

Ein Prinzipal mit dieser Berechtigung kann zugrunde liegende Daten an dem in der Tabelle angegebenen Standort von Amazon S3 löschen. Der Prinzipal kann die Tabelle auch auf der Lake Formation Formation-Konsole anzeigen und Informationen über die Tabelle mit demAWS GlueAPI.

Im folgenden Beispiel wird dieDELETEBerechtigung zum -Benutzerdatalake_user1auf dem TischinventoryIn der -DatenbankretailinAWS-Konto 1111-2222-3333.

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DELETE" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'

Diese Berechtigung gilt nur für Daten in Amazon S3 und nicht für Daten in anderen Datenspeichern wie Amazon Relational Database Service (Amazon RDS).

DESCRIBE

Berechtigung Auf dieser Ressource gewährt Berechtigungsempfängerbedarf
DESCRIBE

Link zu Tabellen-Ressourcen

Link zu Datenbankressourcen

glue:GetTable

glue:GetDatabase

DESCRIBE DATABASE glue:GetDatabase
DESCRIBE TABLE glue:GetTable

Ein Prinzipal mit dieser Berechtigung kann die angegebene Datenbank, Tabelle oder Ressourcenlink anzeigen. Es werden keine anderen Datenkatalog-Berechtigungen implizit erteilt, und es werden implizit keine Datenzugriffsberechtigungen erteilt. Datenbanken und Tabellen werden in den Abfrage-Editoren integrierter Dienste angezeigt, es können jedoch keine Abfragen gegen sie gestellt werden, es sei denn, andere Lake Formation Formation-Berechtigungen (z.SELECT) werden gewährt.

Zum Beispiel ein Benutzer, derDESCRIBEin einer Datenbank können die Datenbank und alle Datenbank-Metadaten (Beschreibung, Speicherort usw.) angezeigt werden. Der Benutzer kann jedoch nicht herausfinden, welche Tabellen die Datenbank enthält, und kann keine Tabellen in der Datenbank löschen, ändern oder erstellen. In ähnlicher Weise ein Benutzer, derDESCRIBEin einer Tabelle können die Tabellen- und Tabellen-Metadaten (Beschreibung, Schema, Speicherort usw.) angezeigt werden, können jedoch keine Abfragen für die Tabelle löschen, ändern oder ausführen.

Im Folgenden sind einige zusätzliche Regeln aufgeführtDESCRIBE:

  • Wenn ein Benutzer andere Lake Formation Formation-Berechtigungen für eine Datenbank, eine Tabelle oder einen Ressourcenlink besitzt,DESCRIBEwird implizit gewährt.

  • Wenn ein BenutzerSELECTnur für eine Teilmenge von Spalten für eine Tabelle (teilweiseSELECT) ist der Benutzer darauf beschränkt, nur diese Spalten zu sehen.

  • Sie können nicht gewährenDESCRIBEan einen Benutzer, der eine teilweise Auswahl für eine Tabelle hat. Umgekehrt können Sie keine Spalteneinschluss-oder Ausschlusslisten für Tabellen angeben, dieDESCRIBEwird am gewährt.

Im folgenden Beispiel wird dieDESCRIBEBerechtigung zum -Benutzerdatalake_user1auf der Tabelle Ressourcenlinkinventory-linkIn der -DatenbankretailinAWS-Konto 1111-2222-3333.

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory-link"}}'

DROP

Berechtigung Auf dieser Ressource gewährt Berechtigungsempfängerbedarf
DROP DATABASE glue:DeleteDatabase
DROP TABLE glue:DeleteTable
DROP

Link zu Datenbankressourcen

Link zu Tabellen-Ressourcen

glue:DeleteDatabase

glue:DeleteTable

Ein Prinzipal mit dieser Berechtigung kann eine Datenbank, eine Tabelle oder einen Ressourcenlink im Datenkatalog löschen. Sie können DROP für eine Datenbank einem externen Konto oder einer externen Organisation nicht zuweisen.

Warnung

Wenn Sie eine Datenbank löschen, werden alle Tabellen in der Datenbank gelöscht.

Im folgenden Beispiel wird dieDROPBerechtigung zum -Benutzerdatalake_user1In der -DatenbankretailinAWS-Konto 1111-2222-3333.

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DROP" --resource '{ "Database": {"Name":"retail"}}'

Im folgenden Beispiel wird die Zuschüsse übertragenDROPan den Benutzerdatalake_user1auf dem TischinventoryIn der -Datenbankretailaus.

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DROP" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'

Im folgenden Beispiel wird die Zuschüsse übertragenDROPan den Benutzerdatalake_user1auf der Tabelle Ressourcenlinkinventory-linkIn der -Datenbankretailaus.

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DROP" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory-link"}}'

INSERT

Berechtigung Auf dieser Ressource gewährt Berechtigungsempfängerbedarf
INSERT TABLE (Wenn der Standort registriert ist, sind keine zusätzlichen IAM-Berechtigungen erforderlich.)

Ein Prinzipal mit dieser Berechtigung kann zugrunde liegende Daten an dem in der Tabelle angegebenen Speicherort von Amazon S3 einfügen, aktualisieren und lesen. Der Prinzipal kann die Tabelle auch in der Lake Formation Formation-Konsole anzeigen und Informationen über die Tabelle mit demAWS GlueAPI.

Im folgenden Beispiel wird dieINSERTBerechtigung zum -Benutzerdatalake_user1auf dem TischinventoryIn der -DatenbankretailinAWS-Konto 1111-2222-3333.

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "INSERT" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'

Diese Berechtigung gilt nur für Daten in Amazon S3 und nicht für Daten in anderen Datenspeichern wie Amazon RDS.

SELECT

Berechtigung Auf dieser Ressource gewährt Berechtigungsempfängerbedarf
SELECT
  • TABLE

(Wenn der Standort registriert ist, sind keine zusätzlichen IAM-Berechtigungen erforderlich.)

Ein Prinzipal mit dieser Berechtigung kann eine Tabelle im Datenkatalog anzeigen und die zugrunde liegenden Daten in Amazon S3 an dem in der Tabelle angegebenen Ort abfragen. Der Prinzipal kann die Tabelle in der Lake Formation Formation-Konsole anzeigen und Informationen über die Tabelle mit demAWS GlueAPI. Wenn die Spaltenfilterung angewendet wurde, als diese Berechtigung erteilt wurde, kann der Prinzipal die Metadaten nur für die eingeschlossenen Spalten anzeigen und Daten nur aus den eingeschlossenen Spalten abfragen.

Anmerkung

Es liegt in der Verantwortung des integrierten Analysedienstes, die Spaltenfilterung bei der Verarbeitung einer Abfrage anzuwenden.

Im folgenden Beispiel wird dieSELECTBerechtigung zum -Benutzerdatalake_user1auf dem TischinventoryIn der -DatenbankretailinAWS-Konto 1111-2222-3333.

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'

Diese Berechtigung gilt nur für Daten in Amazon S3 und nicht für Daten in anderen Datenspeichern wie Amazon RDS.

Sie können bestimmte Spalten mit einer optionalen Einschlussliste oder einer Ausschlussliste filtern (beschränken). Eine Einschlussliste gibt die Spalten an, auf die zugegriffen werden kann. Eine Ausschlussliste gibt die Spalten an, auf die nicht zugegriffen werden kann. In Ermangelung einer Einschluss-oder Ausschlussliste sind alle Tabellenspalten zugänglich.

Die Ergebnisse vonglue:GetTableGibt nur die Spalten zurück, die der Aufrufer über die Berechtigung zur Anzeige verfügt. Integrierte Dienste wie Amazon Athena und Amazon Redshift berücksichtigen die Aufnahme- und Ausschlusslisten für Spalten.

Im folgenden Beispiel wird die Zuschüsse übertragenSELECTan den Benutzerdatalake_user1auf dem Tischinventorymit einer Einschlussliste.

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "TableWithColumns": {"DatabaseName":"retail", "Name":"inventory", "ColumnNames": ["prodcode","location","period","withdrawals"]}}'

Dieses nächste Beispiel gewährtSELECTauf derinventory-Tabelle unter Verwendung einer Ausschlussliste.

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "TableWithColumns": {"DatabaseName":"retail", "Name":"inventory", "ColumnWildcard": {"ExcludedColumnNames": ["intkey", "prodcode"]}}}'

Die folgenden Einschränkungen gelten für dieSELECTBerechtigung:

  • Bei der GewährungSELECTkönnen Sie die Option „Erteilen“ nicht einbeziehen, wenn die Spaltenfilterung angewendet wird.

  • Sie können die Zugriffssteuerung für Spalten, die Partitionsschlüssel sind, nicht einschränken.

  • Ein Schulleiter bei derSELECTBerechtigung für eine Teilmenge von Spalten in einer Tabelle kann dieALTER,DROP,DELETE, oderINSERTErlaubnis für diesen Tisch. In ähnlicher Weise ist ein Prinzipal mit demALTER,DROP,DELETE, oderINSERTBerechtigung für eine Tabelle kann nicht erteilt werdenSELECTBerechtigung mit Spaltenfilterung.

DieSELECTBerechtigung erscheint immer auf derDatenberechtigungenSeite der Lake Formation Formation-Konsole als separate Zeile. Die folgende Abbildung zeigtSELECTwird den Nutzern gewährtdatalake_user2unddatalake_user3auf allen Spalten iminventorytabelle.


            Auf der Seite Datenberechtigungen werden zwei Zeilen für Benutzer datalake_user1 und Tabelleninventar angezeigt. In der ersten Zeile werden die Berechtigungen Löschen und Einfügen mit Ressourcentyp Tabelle aufgeführt, und in der zweiten Zeile wird die Berechtigung zum Auswählen mit Ressourcentyp Spalte und die als retail.inventory.* angezeigte Ressource aufgeführt.

Super

Berechtigung Auf dieser Ressource gewährt Berechtigungsempfängerbedarf
Super DATABASE glue:*Database*
Super TABLE glue:*Table*, glue:*Partition*

Diese Berechtigung ermöglicht es einem Prinzipal, jeden unterstützten Lake Formation Formation-Vorgang in der Datenbank oder Tabelle durchzuführen. Sie können nicht gewährenSuperin einer Datenbank zu einem externen Konto.

Diese Berechtigung kann mit den anderen Lake Formation Formation-Berechtigungen koexistieren. Beispielsweise können Sie dieSuper,SELECT, undINSERTBerechtigungen für eine Metadatentabelle. Der Prinzipal kann dann alle unterstützten Operationen für die Tabelle ausführen. Wenn du widerrufstSuper, derSELECTundINSERTBerechtigungen bleiben erhalten, und der Prinzipal kann nur Auswahl- und Einfügevorgänge ausführen.

Anstatt zu gewährenSupereinem einzelnen Prinzipal können Sie es der Gruppe gewährenIAMAllowedPrincipalsaus. DieIAMAllowedPrincipals-Gruppe wird automatisch erstellt und umfasst alle IAM-Benutzer und -Rollen, denen durch Ihre IAM-Richtlinien Zugriff auf Ihre Datenkatalog-Ressourcen gewährt wird. WannSuperwird gewährtIAMAllowedPrincipalsfür eine Datenkatalog-Ressource wird der Zugriff auf die Ressource effektiv ausschließlich durch IAM-Richtlinien gesteuert.

Sie können das verursachenSuperBerechtigung, automatisch erteilt zu werdenIAMAllowedPrincipalsfür neue Katalogressourcen durch Nutzung von Optionen auf derEinstellungenSeite der Lake Formations-Konsole.


            Das Dialogfeld Datenkatalogeinstellungen enthält den Untertitel „Standardberechtigungen für neu erstellte Datenbanken und Tabellen“ und verfügt über zwei Kontrollkästchen, die im Text beschrieben sind.
  • GewährenSuperzuIAMAllowedPrincipalsfür alle neuen Datenbanken wählenVerwenden Sie nur IAM-Zugriffssteuerung für neue Datenbankenaus.

  • GewährenSuperzuIAMAllowedPrincipalsfür alle neuen Tabellen in neuen Datenbanken wählen SieVerwenden Sie nur IAM-Zugriffssteuerung für neue Tabellen in neuen Datenbankenaus.

    Anmerkung

    Diese Option verursacht das KontrollkästchenVerwenden Sie nur IAM-Zugriffssteuerung für neue Tabellen in dieser DatenbankimDatenbank erstellen-Dialogfeld, das standardmäßig ausgewählt werden soll. Es macht nichts weiter als das. Es ist das Kontrollkästchen imDatenbank erstellen, das die Gewährung vonSuperzuIAMAllowedPrincipalsaus.

DieseEinstellungenDie Seitenoptionen sind standardmäßig aktiviert. Weitere Informationen finden Sie unter: