Mengelola akses ke tabel atau database dengan Lake Formation - Amazon Simple Storage Service
Memberikan izin Lake Formation di atas meja atau database

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola akses ke tabel atau database dengan Lake Formation

Setelah bucket tabel Anda terintegrasi dengan layanan AWS analitik, Lake Formation mengelola akses ke sumber daya tabel Anda. Lake Formation menggunakan model izinnya sendiri (izin Lake Formation) yang memungkinkan kontrol akses berbutir halus untuk sumber daya Katalog Data. Lake Formation mengharuskan setiap kepala sekolah IAM (pengguna atau peran) diberi wewenang untuk melakukan tindakan pada sumber daya yang dikelola Lake Formation. Untuk informasi selengkapnya, lihat Ikhtisar izin Lake Formation di Panduan AWS Lake Formation Pengembang. Untuk informasi tentang berbagi data lintas akun, lihat Berbagi data lintas akun di Lake Formation di Panduan AWS Lake Formation Pengembang.

Sebelum kepala sekolah IAM dapat mengakses tabel di layanan AWS analitik, Anda harus memberi mereka izin Lake Formation pada sumber daya tersebut.

catatan

Jika Anda adalah pengguna yang melakukan integrasi bucket tabel, Anda sudah memiliki izin Lake Formation ke tabel Anda. Jika Anda satu-satunya kepala sekolah yang akan mengakses tabel Anda, Anda dapat melewati langkah ini. Anda hanya perlu memberikan izin Lake Formation di tabel Anda ke prinsipal IAM lainnya. Hal ini memungkinkan prinsipal lain untuk mengakses tabel saat menjalankan query. Untuk informasi selengkapnya, lihat Memberikan izin Lake Formation di atas meja atau database.

Anda harus memberikan izin Prinsipal Lake Formation IAM lainnya pada sumber daya tabel Anda untuk bekerja dengannya dalam layanan berikut:

  • Amazon Redshift

  • Amazon Data Firehose

  • Amazon QuickSight

  • Amazon Athena

Memberikan izin Lake Formation di atas meja atau database

Anda dapat memberikan izin utama Lake Formation pada tabel atau database dalam ember meja, baik melalui konsol Lake Formation atau. AWS CLI

catatan

Saat Anda memberikan izin Lake Formation pada sumber daya Katalog Data ke akun eksternal atau langsung ke kepala IAM di akun lain, Lake Formation menggunakan layanan AWS Resource Access Manager (AWS RAM) untuk membagikan sumber daya. Jika akun penerima hibah berada di organisasi yang sama dengan akun pemberi hibah, sumber daya bersama segera tersedia untuk penerima hibah. Jika akun penerima hibah tidak berada di organisasi yang sama, AWS RAM kirimkan undangan ke akun penerima hibah untuk menerima atau menolak hibah sumber daya. Kemudian, untuk membuat sumber daya bersama tersedia, administrator data lake di akun penerima hibah harus menggunakan AWS RAM konsol atau AWS CLI untuk menerima undangan. Untuk informasi selengkapnya tentang berbagi data lintas akun, lihat Berbagi data lintas akun di Lake Formation di Panduan AWS Lake Formation Pengembang.

Console

  1. Buka AWS Lake Formation konsol dihttps://console.aws.amazon.com/lakeformation/, dan masuk sebagai administrator danau data. Untuk informasi selengkapnya tentang cara membuat administrator data lake, lihat Membuat administrator data lake di Panduan AWS Lake Formation Pengembang.

  2. Di panel navigasi, pilih Izin data, lalu pilih Hibah.

  3. Pada halaman Izin Hibah, di bawah Prinsipal, lakukan salah satu hal berikut:

    • Untuk Amazon Athena atau Amazon Redshift, pilih pengguna dan peran IAM, dan pilih prinsipal IAM yang Anda gunakan untuk kueri.

    • Untuk Amazon Data Firehose, pilih pengguna dan peran IAM, lalu pilih peran layanan yang Anda buat untuk streaming ke tabel.

    • Untuk QuickSight, pilih pengguna dan grup SAMB, lalu masukkan Nama Sumber Daya Amazon (ARN) pengguna admin QuickSight Anda.

    • Untuk akses AWS GlueIceberg REST endpoint, pilih pengguna dan peran IAM lalu pilih peran IAM yang Anda buat untuk klien Anda. Untuk informasi selengkapnya, lihat Buat peran IAM untuk klien Anda

  4. Di bawah LF-tag atau sumber katalog, pilih Sumber daya Katalog Data Bernama.

  5. Untuk Katalog, pilih subkatalog yang Anda buat saat mengintegrasikan bucket tabel, misalnya,. account-id:s3tablescatalog/amzn-s3-demo-bucket

  6. Untuk Database, pilih namespace bucket tabel S3 yang Anda buat.

  7. (Opsional) Untuk Tabel, pilih tabel S3 yang Anda buat di bucket tabel Anda.

    catatan

    Jika Anda membuat tabel baru di editor kueri Athena, jangan pilih tabel.

  8. Lakukan salah satu tindakan berikut:

    • Jika Anda menentukan tabel di langkah sebelumnya, untuk izin Tabel, pilih Super.

    • Jika Anda tidak menentukan tabel pada langkah sebelumnya, buka izin Database. Untuk berbagi data lintas akun, Anda tidak dapat memilih Super untuk memberikan semua izin kepada prinsipal lainnya di database Anda. Sebagai gantinya, pilih lebih banyak izin berbutir halus, seperti Deskripsikan.

  9. PilihIzin.

CLI

  1. Pastikan Anda menjalankan AWS CLI perintah berikut sebagai administrator data lake. Untuk informasi selengkapnya, lihat Membuat administrator data lake di Panduan AWS Lake Formation Pengembang.

  2. Jalankan perintah berikut untuk memberikan izin Lake Formation pada tabel di bucket tabel S3 ke prinsipal IAM untuk mengakses tabel. Untuk menggunakan contoh ini, ganti user input placeholders dengan informasi Anda sendiri. 

    aws lakeformation grant-permissions \
--region us-east-1 \
--cli-input-json \
'{
    "Principal": {
        "DataLakePrincipalIdentifier": "user or role ARN, for example, arn:aws:iam::account-id:role/example-role"
    },
    "Resource": {
        "Table": {
            "CatalogId": "account-id:s3tablescatalog/amzn-s3-demo-bucket",
            "DatabaseName": "S3 table bucket namespace, for example, test_namespace",
            "Name": "S3 table bucket table name, for example test_table"
        }
    },
    "Permissions": [
        "ALL"
    ]
}'