Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Catatan penggunaan
Untuk mencabut hak istimewa dari suatu objek, Anda harus memenuhi salah satu kriteria berikut:
-
Jadilah pemilik objek.
-
Jadilah superuser.
-
Miliki hak istimewa hibah untuk objek dan hak istimewa itu.
Misalnya, perintah berikut memungkinkan HR pengguna untuk melakukan SELECT perintah di meja karyawan dan untuk memberikan dan mencabut hak istimewa yang sama untuk pengguna lain.
grant select on table employees to HR with grant option;SDM tidak dapat mencabut hak istimewa untuk operasi apa pun selainSELECT, atau di meja selain karyawan.
Superuser dapat mengakses semua objek terlepas dari GRANT dan REVOKE perintah yang mengatur hak istimewa objek.
PUBLICmewakili grup yang selalu mencakup semua pengguna. Secara default semua anggota PUBLIC memiliki CREATE dan USAGE hak istimewa pada PUBLIC skema. Untuk membatasi izin pengguna pada PUBLIC skema, Anda harus terlebih dahulu mencabut semua izin dari PUBLIC skema, lalu memberikan hak PUBLIC istimewa kepada pengguna atau grup tertentu. Contoh berikut mengontrol hak istimewa pembuatan tabel dalam PUBLIC skema.
revoke create on schema public from public;
Untuk mencabut hak istimewa dari tabel Lake Formation, IAM peran yang terkait dengan skema eksternal tabel harus memiliki izin untuk mencabut hak istimewa ke tabel eksternal. Contoh berikut membuat skema eksternal dengan IAM peran myGrantor terkait. IAMperan myGrantor memiliki izin untuk mencabut izin dari orang lain. REVOKEPerintah menggunakan izin IAM peran myGrantor yang terkait dengan skema eksternal untuk mencabut izin ke peran tersebut. IAM myGrantee
create external schema mySchema from data catalog database 'spectrum_db' iam_role 'arn:aws:iam::123456789012:role/myGrantor' create external database if not exists;
revoke select on external table mySchema.mytable from iam_role 'arn:aws:iam::123456789012:role/myGrantee';
catatan
Jika IAM peran tersebut juga memiliki ALL izin dalam AWS Glue Data Catalog yang diaktifkan untuk Lake Formation, ALL izin tidak dicabut. Hanya SELECT izin yang dicabut. Anda dapat melihat izin Lake Formation di konsol Lake Formation.
Catatan penggunaan untuk mencabut izin ASSUMEROLE
Catatan penggunaan berikut berlaku untuk mencabut ASSUMEROLE hak istimewa di Amazon Redshift.
Hanya superuser database yang dapat mencabut ASSUMEROLE hak istimewa untuk pengguna dan grup. Superuser selalu mempertahankan hak istimewa. ASSUMEROLE
Untuk mengaktifkan penggunaan ASSUMEROLE hak istimewa bagi pengguna dan grup, superuser menjalankan pernyataan berikut sekali di cluster. Sebelum memberikan ASSUMEROLE hak istimewa kepada pengguna dan grup, superuser harus menjalankan pernyataan berikut sekali di cluster.
revoke assumerole on all from public for all;
Catatan penggunaan untuk mencabut izin pembelajaran mesin
Anda tidak dapat secara langsung memberikan atau mencabut izin yang terkait dengan fungsi ML. Fungsi ML milik model ML dan izin dikontrol melalui model. Sebagai gantinya, Anda dapat mencabut izin yang terkait dengan model ML. Contoh berikut menunjukkan cara mencabut permisison run dari semua pengguna yang terkait dengan model. customer_churn
REVOKE EXECUTE ON MODEL customer_churn FROM PUBLIC;
Anda juga dapat mencabut semua izin dari pengguna untuk model ML. customer_churn
REVOKE ALL on MODEL customer_churn FROM ml_user;
Pemberian atau pencabutan EXECUTE izin yang terkait dengan fungsi ML akan gagal jika ada fungsi ML dalam skema, bahkan jika fungsi ML tersebut sudah memiliki izin melalui. EXECUTE GRANT EXECUTE ON MODEL Sebaiknya gunakan skema terpisah saat menggunakan CREATE MODEL perintah untuk menjaga fungsi ML dalam skema terpisah sendiri. Contoh berikut menunjukkan bagaimana melakukannya.
CREATE MODEL ml_schema.customer_churn FROM customer_data TARGET churn FUNCTION ml_schema.customer_churn_prediction IAM_ROLE default SETTINGS ( S3_BUCKET 'amzn-s3-demo-bucket' );
