Memberikan, mencabut, dan mencantumkan izin LF-tag menggunakan AWS CLI

Anda dapat memberikan, mencabut, dan mencantumkan izin pada LF-tag dengan menggunakan (). AWS Command Line Interface AWS CLI

Untuk mencantumkan izin LF-tag ()AWS CLI

Masukkan list-permissions perintah. Anda harus menjadi pembuat LF-tag, administrator data lake, atau memilikiDrop,, Alter DescribeAssociate, Grant with LF-Tag permissions izin pada LF-tag untuk melihatnya.

Perintah berikut meminta semua LF-tag yang Anda memiliki izin.


aws lakeformation list-permissions --resource-type LF_TAG

Berikut ini adalah contoh output untuk administrator data lake, yang melihat semua LF-tag diberikan kepada semua prinsipal. Pengguna non-administratif hanya melihat LF-tag yang diberikan kepada mereka. Izin LF-tag yang diberikan dari akun eksternal muncul di halaman hasil terpisah. Untuk melihatnya, ulangi perintah dan berikan --next-token argumen dengan token yang dikembalikan dari perintah run sebelumnya.

{
    "PrincipalResourcePermissions": [
        {
            "Principal": {
                "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_admin"
            },
            "Resource": {
                "LFTag": {
                    "CatalogId": "111122223333",
                    "TagKey": "environment",
                    "TagValues": [
                        "*"
                    ]
                }
            },
            "Permissions": [
                "ASSOCIATE"
            ],
            "PermissionsWithGrantOption": [
                "ASSOCIATE"
            ]
        },
        {
            "Principal": {
                "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
            },
            "Resource": {
                "LFTag": {
                    "CatalogId": "111122223333",
                    "TagKey": "module",
                    "TagValues": [
                        "Orders",
                        "Sales"
                    ]
                }
            },
            "Permissions": [
                "DESCRIBE"
            ],
            "PermissionsWithGrantOption": []
        },
...
    ],
    "NextToken": "eyJzaG91bGRRdWVy...Wlzc2lvbnMiOnRydWV9"
}

Anda dapat membuat daftar semua hibah untuk kunci LF-tag tertentu. Perintah berikut mengembalikan semua izin yang diberikan pada module LF-tag.


aws lakeformation list-permissions --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

Anda juga dapat mencantumkan nilai LF-tag yang diberikan kepada prinsipal tertentu untuk LF-tag tertentu. Saat memberikan --principal argumen, Anda harus memberikan --resource argumen. Oleh karena itu, perintah hanya dapat secara efektif meminta nilai yang diberikan kepada prinsipal tertentu untuk kunci LF-tag tertentu. Perintah berikut menunjukkan bagaimana melakukan ini untuk prinsipal datalake_user1 dan kunci LF-tag. module


aws lakeformation list-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

Berikut ini adalah contoh output-nya.

{
    "PrincipalResourcePermissions": [
        {
            "Principal": {
                "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
            },
            "Resource": {
                "LFTag": {
                    "CatalogId": "111122223333",
                    "TagKey": "module",
                    "TagValues": [
                        "Orders",
                        "Sales"
                    ]
                }
            },
            "Permissions": [
                "ASSOCIATE"
            ],
            "PermissionsWithGrantOption": []
        }
    ]
}

Untuk memberikan izin pada LF-tag ()AWS CLI

Masukkan perintah yang serupa dengan yang berikut ini. Contoh ini memberikan Associate izin kepada pengguna datalake_user1 pada LF-tag dengan kunci. module Ini memberikan izin untuk melihat dan menetapkan semua nilai untuk kunci itu, seperti yang ditunjukkan oleh tanda bintang (*).
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```
Pemberian Associate izin secara implisit memberikan izin. Describe

Contoh berikutnya memberikan Associate ke AWS akun eksternal 1234-5678-9012 pada LF-tag dengan kunci, dengan opsi hibah. module Ini memberikan izin untuk melihat dan menetapkan hanya nilai dan. sales orders
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "ASSOCIATE" --permissions-with-grant-option "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'
```
Pemberian GrantWithLFTagExpression izin secara implisit memberikan izin. Describe

Contoh berikutnya memberikan GrantWithLFTagExpression kepada pengguna pada LF-tag dengan kuncimodule, dengan opsi hibah. Ini memberikan izin untuk melihat dan memberikan izin pada sumber daya Katalog Data hanya menggunakan nilai dan. sales orders
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "GrantWithLFTagExpression" --permissions-with-grant-option "GrantWithLFTagExpression" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'
```

Contoh berikutnya memberikan Drop izin kepada pengguna pada LF-tag dengan kuncimodule, dengan opsi hibah. Ini memberikan izin untuk menghapus LF-tag. Untuk menghapus LF-tag, Anda memerlukan izin pada semua nilai untuk kunci tersebut.


aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DROP" --permissions-with-grant-option "DROP" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

Contoh berikutnya memberikan Alter izin kepada pengguna pada LF-tag dengan kuncimodule, dengan opsi hibah. Ini memberikan izin untuk menghapus LF-tag. Untuk memperbarui LF-tag, Anda memerlukan izin pada semua nilai untuk kunci tersebut.


aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

Untuk mencabut izin pada LF-tag ()AWS CLI

Masukkan perintah yang serupa dengan yang berikut ini. Contoh ini mencabut Associate izin pada LF-tag dengan kunci module dari pengguna. datalake_user1


aws lakeformation revoke-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Memberikan izin LF-tag menggunakan konsol

Memberikan izin data lake menggunakan metode LF-TBAC