Octroyer, révoquer et répertorier les autorisations LF-Tag à l'aide du AWS CLI

Vous pouvez accorder, révoquer et répertorier les autorisations sur les balises LF en utilisant le AWS Command Line Interface ().AWS CLI

Pour répertorier les autorisations LF-Tag ()AWS CLI

Entrez une list-permissions commande. Vous devez être le créateur du tag LF, un administrateur du lac de données ou avoir l'Grant with LF-Tag permissionsautorisationDrop,Alter, DescribeAssociate, sur un tag LF pour le voir.

La commande suivante demande toutes les balises LF pour lesquelles vous avez des autorisations.


aws lakeformation list-permissions --resource-type LF_TAG

Voici un exemple de sortie destiné à un administrateur de lac de données, qui voit toutes les balises LF accordées à tous les principaux. Les utilisateurs non administrateurs ne voient que les balises LF qui leur sont accordées. Les autorisations LF-Tag accordées à partir d'un compte externe apparaissent sur une page de résultats distincte. Pour les voir, répétez la commande et fournissez à l'--next-tokenargument le jeton renvoyé lors de l'exécution de la commande précédente.

{
    "PrincipalResourcePermissions": [
        {
            "Principal": {
                "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_admin"
            },
            "Resource": {
                "LFTag": {
                    "CatalogId": "111122223333",
                    "TagKey": "environment",
                    "TagValues": [
                        "*"
                    ]
                }
            },
            "Permissions": [
                "ASSOCIATE"
            ],
            "PermissionsWithGrantOption": [
                "ASSOCIATE"
            ]
        },
        {
            "Principal": {
                "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
            },
            "Resource": {
                "LFTag": {
                    "CatalogId": "111122223333",
                    "TagKey": "module",
                    "TagValues": [
                        "Orders",
                        "Sales"
                    ]
                }
            },
            "Permissions": [
                "DESCRIBE"
            ],
            "PermissionsWithGrantOption": []
        },
...
    ],
    "NextToken": "eyJzaG91bGRRdWVy...Wlzc2lvbnMiOnRydWV9"
}

Vous pouvez répertorier toutes les subventions pour une clé LF-Tag spécifique. La commande suivante renvoie toutes les autorisations accordées sur le LF-Tagmodule.


aws lakeformation list-permissions --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

Vous pouvez également répertorier les valeurs de balise LF accordées à un principal spécifique pour une balise LF spécifique. Lorsque vous fournissez l'--principalargument, vous devez le --resource fournir. Par conséquent, la commande ne peut effectivement demander que les valeurs accordées à un principal spécifique pour une clé LF-Tag spécifique. La commande suivante montre comment procéder pour la touche principale datalake_user1 et la touche LF-Tag. module


aws lakeformation list-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

Voici un exemple de sortie.

{
    "PrincipalResourcePermissions": [
        {
            "Principal": {
                "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
            },
            "Resource": {
                "LFTag": {
                    "CatalogId": "111122223333",
                    "TagKey": "module",
                    "TagValues": [
                        "Orders",
                        "Sales"
                    ]
                }
            },
            "Permissions": [
                "ASSOCIATE"
            ],
            "PermissionsWithGrantOption": []
        }
    ]
}

Pour accorder des autorisations sur les balises LF ()AWS CLI

Utilisez une commande similaire à la suivante. Cet exemple accorde à l'utilisateur datalake_user1 l'Associateautorisation d'utiliser le tag LF avec la clé. module Il autorise l'affichage et l'attribution de toutes les valeurs pour cette clé, comme indiqué par l'astérisque (*).
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```
L'octroi de l'Associateautorisation octroie implicitement l'Describeautorisation.

L'exemple suivant accorde Associate au AWS compte externe 1234-5678-9012 sur le LF-Tag avec la clé, avec l'option d'octroi. module Il accorde des autorisations pour afficher et attribuer uniquement les valeurs sales etorders.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "ASSOCIATE" --permissions-with-grant-option "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'
```
L'octroi de l'GrantWithLFTagExpressionautorisation octroie implicitement l'Describeautorisation.

L'exemple suivant accorde GrantWithLFTagExpression à un utilisateur sur le tag LF avec la clémodule, avec l'option d'octroi. Il accorde des autorisations pour consulter et octroyer des autorisations sur les ressources du catalogue de données en utilisant uniquement les valeurs sales etorders.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "GrantWithLFTagExpression" --permissions-with-grant-option "GrantWithLFTagExpression" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'
```
L'exemple suivant accorde des Drop autorisations à un utilisateur sur le tag LF avec la clémodule, avec l'option d'octroi. Il accorde l'autorisation de supprimer le tag LF. Pour supprimer une balise LF, vous devez disposer d'autorisations sur toutes les valeurs de cette clé.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DROP" --permissions-with-grant-option "DROP" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```
L'exemple suivant accorde des Alter autorisations à l'utilisateur sur le tag LF avec la clémodule, avec l'option d'octroi. Il accorde l'autorisation de supprimer le tag LF. Pour mettre à jour une balise LF, vous devez disposer d'autorisations sur toutes les valeurs de cette clé.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```

Pour révoquer les autorisations sur les balises LF ()AWS CLI

Utilisez une commande similaire à la suivante. Cet exemple révoque l'Associateautorisation sur le tag LF avec la clé module de l'utilisateur. datalake_user1


aws lakeformation revoke-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Octroi d'autorisations LF-Tag à l'aide de la console

Octroi d'autorisations de data lake à l'aide de la méthode LF-TBAC