Erteilen von Berechtigungen für einen Datenstandort, der mit Ihrem Konto geteilt wird

Nachdem eine Datenkatalogressource für Ihr AWS Konto freigegeben wurde, können Sie als Data Lake-Administrator anderen Prinzipalen in Ihrem Konto Berechtigungen für die Ressource gewähren. Wenn die ALTER Berechtigung für eine gemeinsam genutzte Tabelle erteilt wurde und die Tabelle auf einen registrierten Amazon S3 S3-Standort verweist, müssen Sie auch Datenstandortberechtigungen für den Standort erteilen. Ebenso müssen Sie, wenn die ALTER Berechtigung CREATE_TABLE oder für eine gemeinsam genutzte Datenbank erteilt wird und die Datenbank über eine Standorteigenschaft verfügt, die auf einen registrierten Standort verweist, auch Datenstandortberechtigungen für den Standort erteilen.

Um einem Hauptbenutzer in Ihrem Konto Datenstandortberechtigungen für einen gemeinsam genutzten Standort zu erteilen, muss Ihrem Konto die DATA_LOCATION_ACCESS Berechtigung für den Standort mit der Option „Gewähren“ erteilt worden sein. Wenn Sie dann einem anderen Auftraggeber in Ihrem Konto eine Genehmigung erteilenDATA_LOCATION_ACCESS, müssen Sie die Datenkatalog-ID (AWSKonto-ID) des Eigentümerkontos angeben. Das Besitzerkonto ist das Konto, mit dem der Standort registriert wurde.

Sie können die AWS Lake Formation Konsole, die API oder die AWS Command Line Interface () verwenden, AWS CLI um Datenstandortberechtigungen zu erteilen.

Um Berechtigungen für einen Datenspeicherort zu gewähren, der mit Ihrem Konto geteilt wird (Konsole)

Führen Sie die Schritte unter Erteilen von Datenstandortberechtigungen (gleiches Konto) aus.

Für Speicherorte müssen Sie die Speicherorte eingeben. Geben Sie unter Standort des registrierten AWS Kontos die Konto-ID des Eigentümerkontos ein.

Um Berechtigungen für einen Datenspeicherort zu gewähren, der mit Ihrem Konto geteilt wird (AWS CLI)

Geben Sie einen der folgenden Befehle ein, um entweder einem Benutzer oder einer Rolle Berechtigungen zu erteilen.


aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/<user-name> --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>","ResourceArn":"arn:aws:s3:::<s3-location>"}}'
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:role/<role-name> --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>","ResourceArn":"arn:aws:s3:::<s3-location>"}}'

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Erteilen von Datenstandortberechtigungen (externes Konto)

Erteilen und Widerrufen von Datenkatalogberechtigungen