Memberikan izin tabel menggunakan metode sumber daya bernama - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memberikan izin tabel menggunakan metode sumber daya bernama

Anda dapat menggunakan konsol Lake Formation atau AWS CLI untuk memberikan izin Lake Formation pada tabel Katalog Data. Anda dapat memberikan izin pada tabel individual, atau dengan operasi hibah tunggal, Anda dapat memberikan izin pada semua tabel dalam database.

Jika Anda memberikan izin pada semua tabel dalam database, Anda secara implisit memberikan DESCRIBE izin pada database. Database kemudian muncul di halaman Database di konsol, dan dikembalikan oleh GetDatabases API operasi.

Saat Anda memilih SELECT sebagai izin untuk diberikan, Anda memiliki opsi untuk menerapkan filter kolom, filter baris, atau filter sel.

Console

Langkah-langkah berikut menjelaskan cara memberikan izin tabel dengan menggunakan metode sumber daya bernama dan halaman izin danau data Grant di konsol Lake Formation. Halaman ini dibagi menjadi beberapa bagian ini:

  • Prinsipal — Pengguna, peran, AWS akun, organisasi, atau unit organisasi untuk memberikan izin.

  • LF-tag atau sumber daya katalog — Database, tabel, atau tautan sumber daya untuk memberikan izin pada.

  • Izin — Izin Lake Formation untuk diberikan.

catatan

Untuk memberikan izin pada tautan sumber daya tabel, lihatMemberikan izin tautan sumber daya.

  1. Buka halaman izin danau data Grant.

    Buka AWS Lake Formation konsol di https://console.aws.amazon.com/lakeformation/, dan masuk sebagai administrator data lake, pembuat tabel, atau pengguna yang telah diberikan izin di atas tabel dengan opsi hibah.

    Lakukan salah satu hal berikut ini:

    • Di panel navigasi, pilih Izin data lake di bawah Izin. Kemudian pilih Grant.

    • Di panel navigasi, pilih Tabel. Kemudian, pada halaman Tabel, pilih tabel, dan pada menu Tindakan, di bawah Izin, pilih Hibah.

    catatan

    Anda dapat memberikan izin pada tabel melalui tautan sumber dayanya. Untuk melakukannya, pada halaman Tabel, pilih tautan sumber daya, dan pada menu Tindakan, pilih Hibah sesuai target. Untuk informasi selengkapnya, lihat Cara kerja tautan sumber daya di Lake Formation.

  2. Selanjutnya, di bagian Prinsipal, pilih jenis utama dan tentukan prinsipal untuk memberikan izin.

    Bagian Prinsipal berisi tiga ubin yang diberi nama dalam teks berikut. Setiap ubin berisi tombol opsi dan teks. Ubin pengguna dan grup Pusat IAM Identitas dipilih, dan daftar dropdown IAM pengguna dan peran berada di bawah ubin.
    IAMpengguna dan peran

    Pilih satu atau beberapa pengguna atau peran dari daftar IAMpengguna dan peran.

    IAMPusat Identitas

    Pilih satu atau beberapa pengguna atau grup dari daftar Pengguna dan grup.

    Pengguna dan grup SAML

    Untuk QuickSight pengguna SAML dan grup Amazon, masukkan satu atau beberapa Nama Sumber Daya Amazon (ARNs) untuk pengguna atau grup yang digabungkan melaluiSAML, atau ARNs untuk QuickSight pengguna atau grup Amazon. Tekan Enter setelah masing-masingARN.

    Untuk informasi tentang cara membangunARNs, lihatLake Formation memberikan dan mencabut perintah AWS CLI.

    catatan

    Integrasi Lake Formation dengan Amazon hanya QuickSight didukung untuk Amazon QuickSight Enterprise Edition.

    Akun eksternal

    Untuk Akun AWS , AWS organisasi, atau IAMPrincipal masukkan satu atau lebih valid Akun AWS IDsIDs, organisasiIDs, unit organisasi, atau ARN untuk IAM pengguna atau peran. Tekan Enter setelah setiap ID.

    ID organisasi terdiri dari “o-” diikuti oleh 10-32 huruf kecil atau digit.

    ID unit organisasi dimulai dengan “ou-” diikuti oleh 4-32 huruf kecil atau digit (ID dari root yang berisi OU). String ini diikuti oleh karakter “-” kedua dan 8 hingga 32 huruf kecil atau digit tambahan.

  3. Di bagian LF-tag atau sumber daya katalog, pilih database. Kemudian pilih satu atau lebih tabel, atau Semua tabel.

    Bagian LF-tag atau sumber daya katalog berisi dua ubin yang disusun secara horizontal, di mana setiap ubin berisi tombol opsi dan teks deskriptif. Pilihannya adalah Sumber daya yang cocok dengan LF-tag, dan sumber daya katalog data bernama. Sumber daya katalog data bernama dipilih. Di bawah ubin adalah dua daftar dropdown: Database dan Tabel. Daftar dropdown Database memiliki ubin di bawahnya yang berisi nama database yang dipilih. Daftar dropdown Tabel memiliki ubin di bawahnya yang berisi nama tabel yang dipilih.
  4. Tentukan izin tanpa pemfilteran data

    Di bagian Izin, pilih izin tabel yang akan diberikan, dan secara opsional pilih izin yang dapat diberikan.

    Bagian izin Tabel dan kolom memiliki dua subbagian: Izin tabel dan izin yang dapat diberikan. Setiap subbagian memiliki kotak centang untuk setiap kemungkinan izin Lake Formation: Alter, Insert, Drop, Delete, Select, Description, dan Super. Izin Super diatur di sebelah kanan izin lainnya, dan memiliki deskripsi: “Izin ini memungkinkan kepala sekolah untuk memberikan salah satu izin ke kiri, dan menggantikan izin yang dapat diberikan tersebut.”

    Jika Anda memberikan Pilih, bagian Izin data muncul di bawah bagian izin Tabel dan kolom, dengan opsi Semua akses data dipilih secara default. Terima default.

    Bagian ini berisi tiga ubin, disusun secara horizontal, masing-masing dengan tombol opsi dan deskripsi. Tombol opsi adalah: Semua akses data (dipilih), Akses berbasis kolom sederhana, dan filter tingkat sel tingkat lanjut.
  5. PilihIzin.

  6. Tentukan izin Pilih dengan pemfilteran data

    Pilih izin Pilih. Jangan pilih izin lainnya.

    Bagian Izin data muncul di bawah bagian Tabel dan kolom izin.

  7. Lakukan salah satu hal berikut ini:

    • Terapkan penyaringan kolom sederhana saja.

      1. Pilih Akses berbasis kolom sederhana.

        Bagian atas adalah bagian Tabel dan kolom izin. Ini dijelaskan dalam tangkapan layar sebelumnya. Ini berisi kotak centang untuk izin tabel dan izin yang dapat diberikan. Bagian bawah, Izin data, memiliki tiga ubin yang disusun secara horizontal, di mana setiap ubin memiliki tombol opsi dan deskripsi. Pilihannya adalah Semua akses data, akses berbasis kolom sederhana, dan filter tingkat sel tingkat lanjut. Opsi akses berbasis kolom Sederhana dipilih. Di bawah ubin adalah grup tombol opsi dengan label Pilih filter izin. Pilihannya adalah Sertakan kolom dan Kecualikan kolom. Di bawah grup opsi adalah daftar dropdown Pilih kolom, dan di bawahnya adalah subbagian Izin yang Dapat Diberikan, yang berisi satu kotak centang berlabel Select.
      2. Pilih apakah akan menyertakan atau mengecualikan kolom, lalu pilih kolom yang akan disertakan atau dikecualikan.

        Hanya menyertakan daftar yang didukung saat memberikan izin ke AWS akun atau organisasi eksternal.

      3. (Opsional) Di bawah Izin yang Dapat Diberikan, aktifkan opsi hibah untuk izin Pilih.

        Jika Anda menyertakan opsi hibah, penerima hibah hanya dapat memberikan izin pada kolom yang Anda berikan kepada mereka.

      catatan

      Anda juga dapat menerapkan pemfilteran kolom hanya dengan membuat filter data yang menentukan filter kolom dan menentukan semua baris sebagai filter baris. Namun, ini membutuhkan lebih banyak langkah.

    • Terapkan kolom, baris, atau penyaringan sel.

      1. Pilih Filter tingkat sel tingkat lanjut.

        Bagian ini, berjudul Izin data, berada di bawah bagian izin Tabel. Ini memiliki tiga ubin yang disusun secara horizontal, di mana setiap ubin memiliki tombol opsi dan deskripsi. Pilihannya adalah Semua akses data, akses berbasis kolom sederhana, dan filter tingkat sel tingkat lanjut. Opsi filter tingkat sel lanjutan dipilih. Di bawah ubin adalah label Lihat izin yang ada dengan segitiga eksposur di sebelah kiri. Izin yang ada tidak diekspos. Di bawah ini adalah bagian berjudul Filter data untuk diberikan. Di sebelah kanan judul terdapat tiga tombol: Segarkan, Kelola filter, dan Buat filter baru. Di bawah judul dan tombol adalah bidang teks dengan teks placeholder “Temukan filter”. Di bawah ini adalah tabel filter yang ada. Setiap baris memiliki kotak centang di sebelah kiri. Judul kolom adalah nama Filter, Tabel, Database, dan ID katalog Tabel. Ada dua baris. Nama filter di baris pertama adalah restrict-pharma. Nama di baris kedua adalah no-pharma.
      2. (Opsional) Perluas Lihat izin yang ada.

      3. (Opsional) Pilih Buat filter baru.

      4. (Opsional) Untuk melihat detail filter yang tercantum, atau untuk membuat filter baru atau menghapus filter yang ada, pilih Kelola filter.

        Halaman Filter data terbuka di jendela browser baru.

        Setelah selesai di halaman Filter data, kembali ke halaman izin Hibah, dan jika perlu, segarkan halaman untuk melihat filter data baru yang Anda buat.

      5. Pilih satu atau beberapa filter data untuk diterapkan pada hibah.

        catatan

        Jika tidak ada filter data dalam daftar, itu berarti tidak ada filter data yang dibuat untuk tabel yang dipilih.

  8. PilihIzin.

AWS CLI

Anda dapat memberikan izin tabel dengan menggunakan metode sumber daya bernama dan AWS Command Line Interface (AWS CLI).

Untuk memberikan izin tabel menggunakan AWS CLI
  • Jalankan grant-permissions perintah, dan tentukan tabel sebagai sumber daya.

contoh — Hibah pada satu meja - tidak ada penyaringan

Contoh berikut memberikan SELECT dan ALTER kepada pengguna datalake_user1 di AWS akun 1111-2222-3333 pada tabel dalam database. inventory retail

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
catatan

Jika Anda memberikan ALTER izin pada tabel yang memiliki data dasarnya di lokasi terdaftar, pastikan juga memberikan izin lokasi data pada lokasi tersebut kepada prinsipal. Untuk informasi selengkapnya, lihat Memberikan izin lokasi data.

contoh — Hibah pada Semua Tabel dengan opsi Hibah - tanpa penyaringan

Contoh berikutnya memberikan opsi SELECT hibah pada semua tabel dalam databaseretail.

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --permissions-with-grant-option "SELECT" --resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
contoh - Hibah dengan penyaringan kolom sederhana

Contoh berikutnya ini memberikan SELECT subset kolom dalam tabel. persons Ini menggunakan penyaringan kolom sederhana.

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "TableWithColumns": {"DatabaseName":"hr", "Name":"persons", "ColumnNames":["family_name", "given_name", "gender"]}}'
contoh — Hibah dengan filter data

Contoh ini memberikan SELECT pada orders tabel dan menerapkan filter restrict-pharma data.

aws lakeformation grant-permissions --cli-input-json file://grant-params.json

Berikut ini adalah isi filegrant-params.json.

{ "Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"}, "Resource": { "DataCellsFilter": { "TableCatalogId": "111122223333", "DatabaseName": "sales", "TableName": "orders", "Name": "restrict-pharma" } }, "Permissions": ["SELECT"], "PermissionsWithGrantOption": ["SELECT"] }