Octroi d'autorisations sur une base de données ou une table partagée avec votre compte

Une fois qu'une ressource de catalogue de données appartenant à un autre AWS compte est partagée avec votre AWS compte, en tant qu'administrateur du lac de données, vous pouvez accorder des autorisations sur la ressource partagée aux autres principaux de votre compte. Vous ne pouvez toutefois pas accorder d'autorisations sur la ressource à d'autres AWS comptes ou organisations.

Vous pouvez utiliser la AWS Lake Formation console, l'API ou le AWS Command Line Interface (AWS CLI) pour accorder les autorisations.

Pour accorder des autorisations sur une base de données partagée (méthode de ressource nommée, console)

Suivez les instructions de la section Octroi d'autorisations de base de données à l'aide de la méthode de ressource. Dans la liste des bases de données, sous Tags LF ou ressources du catalogue, assurez-vous de sélectionner la base de données dans le compte externe, et non un lien de ressource pour la base de données.

Si la base de données ne figure pas dans la liste des bases de données, assurez-vous d'avoir accepté l'invitation de partage de ressources AWS Resource Access Manager (AWS RAM) pour la base de données. Pour plus d’informations, consultez Acceptation d'une invitation de partage de ressources de AWS RAM.

De plus, pour les ALTER autorisations CREATE_TABLE et, suivez les Octroi d'autorisations de localisation des données (même compte) instructions fournies et assurez-vous de saisir l'identifiant du compte propriétaire dans le champ Emplacement du compte enregistré.

Pour accorder des autorisations sur une table partagée (méthode de ressource nommée, console)

Suivez les instructions de la section Octroi d'autorisations de table à l'aide de la méthode de ressource nommée. Dans la liste des bases de données, sous Tags LF ou ressources du catalogue, assurez-vous de sélectionner la base de données dans le compte externe, et non un lien de ressource pour la base de données.

Si le tableau ne figure pas dans la liste des tableaux, assurez-vous d'avoir accepté l'invitation de partage de AWS RAM ressources pour le tableau. Pour plus d’informations, consultez Acceptation d'une invitation de partage de ressources de AWS RAM.

De plus, pour ALTER obtenir l'autorisation, suivez les Octroi d'autorisations de localisation des données (même compte) instructions fournies et assurez-vous de saisir l'identifiant du compte propriétaire dans le champ Emplacement du compte enregistré.

Pour accorder des autorisations sur des ressources partagées (méthode LF-TBAC, console)

Suivez les instructions de la section Octroi d'autorisations au catalogue de données . Dans la section Balises LF ou ressources du catalogue, accordez l'expression de balise LF exacte que le compte externe a accordée à votre compte, ou un sous-ensemble de cette expression.

Par exemple, si un compte externe a accordé l'expression LF-tag module=customers AND environment=production à votre compte avec l'option d'attribution, en tant qu'administrateur du lac de données, vous pouvez accorder cette même expression, module=customers ou environment=production à un mandant de votre compte. Vous ne pouvez accorder que les mêmes autorisations ou un sous-ensemble des autorisations de Lake Formation (par exemple,SELECT,ALTER, etc.) qui ont été accordées aux ressources via l'expression LF-Tag.

Pour accorder des autorisations sur une table partagée (méthode de ressource nommée, AWS CLI)

Utilisez une commande similaire à la suivante. Dans cet exemple :
- L'identifiant de votre AWS compte est 1111-2222-3333.
- Le compte propriétaire de la table et qui l'a attribuée à votre compte est le 1234-5678-9012.
- L'SELECTautorisation est accordée à l'utilisateur sur la table pageviews partagéedatalake_user1. Cet utilisateur est le principal de votre compte.
- La pageviews table se trouve dans la analytics base de données, qui appartient au compte 1234-5678-9012.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "Table": {"CatalogId":"123456789012", "DatabaseName":"analytics", "Name":"pageviews"}}'
```
Notez que le compte propriétaire doit être spécifié dans la CatalogId propriété de l'resourceargument.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Partage de données entre comptes à l'aide de la méthode des ressources nommées

Octroi d'autorisations relatives aux liens vers