Memberikan izin lokasi data (akun eksternal) - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memberikan izin lokasi data (akun eksternal)

Ikuti langkah-langkah ini untuk memberikan izin lokasi data ke AWS akun atau organisasi eksternal.

Anda dapat memberikan izin menggunakan konsol Lake Formation, API, atau AWS Command Line Interface (AWS CLI).

Sebelum Anda mulai

Pastikan semua prasyarat akses lintas akun terpenuhi. Untuk informasi selengkapnya, lihat Prasyarat.

Untuk memberikan izin lokasi data (akun eksternal, konsol)
  1. Buka AWS Lake Formation konsol di https://console.aws.amazon.com/lakeformation/. Masuk sebagai administrator danau data.

  2. Di panel navigasi, di bawah Izin, pilih Lokasi data, lalu pilih Hibah.

  3. Dalam kotak dialog Hibah izin, pilih ubin akun Eksternal.

  4. Saat diminta, berikan informasi berikut:

    • Untuk ID AWS akun atau ID AWS organisasi, masukkan nomor AWS akun, ID organisasi, atau ID unit organisasi yang valid.

      Tekan Enter setelah setiap ID.

      ID organisasi terdiri dari “o-” diikuti oleh 10 hingga 32 huruf kecil atau digit.

      ID unit organisasi terdiri dari “ou-” diikuti oleh 4 hingga 32 huruf kecil atau digit (ID dari root yang berisi OU). String ini diikuti oleh “-” kedua (tanda hubung) dan 8 hingga 32 huruf kecil atau digit tambahan.

    • Di bawah Lokasi penyimpanan, pilih Jelajahi, dan pilih lokasi penyimpanan Amazon Simple Storage Service (Amazon S3). Lokasi harus terdaftar di Lake Formation.

    Dialog izin Hibah memiliki tombol radio akun eksternal yang dipilih, AWS akun yang ditentukan, dan lokasi penyimpanan ditentukan.
  5. Pilih Grantable.

  6. PilihIzin.

Untuk memberikan izin lokasi data (akun eksternal, AWS CLI)
  • Untuk memberikan izin ke AWS akun eksternal, masukkan perintah yang mirip dengan yang berikut ini.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'

    Perintah ini memberikan opsi hibah ke akun 1111-2222-3333 di lokasi Amazon S3, yang dimiliki oleh akun s3://retail/transactions/2020q1 1234-5678-9012. DATA_LOCATION_ACCESS

    Untuk memberikan izin ke organisasi, masukkan perintah yang mirip dengan yang berikut ini.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{"DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'

    Perintah ini memberikan opsi hibah kepada organisasi o-abcdefghijkl di s3://retail/transactions/2020q1 lokasi Amazon S3, yang dimiliki oleh akun 1234-5678-9012. DATA_LOCATION_ACCESS

    Untuk memberikan izin kepada prinsipal di AWS akun eksternal, masukkan perintah yang mirip dengan yang berikut ini.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3::retail/transactions/2020q1", "CatalogId": "123456789012"}}'

    Perintah ini memberikan DATA_LOCATION_ACCESS kepada kepala sekolah di akun 1111-2222-3333 di lokasi Amazon S3, yang dimiliki oleh akun s3://retail/transactions/2020q1 1234-5678-9012.

    Contoh berikut memberikan izin lokasi data s3://retail untuk ALLIAMPrincipals mengelompokkan di akun eksternal.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "123456789012"}}'