Concessione, revoca ed elenco delle autorizzazioni LF-Tag utilizzando il AWS CLI - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concessione, revoca ed elenco delle autorizzazioni LF-Tag utilizzando il AWS CLI

È possibile concedere, revocare ed elencare i permessi sui tag LF utilizzando (). AWS Command Line Interface AWS CLI

Per elencare le autorizzazioni LF-Tag ()AWS CLI

  • Immettete un comando. list-permissions Devi essere il creatore del tag LF, un amministratore del data lake o avere l'Grant with LF-Tag permissionsautorizzazioneDrop,, Alter DescribeAssociate, per un tag LF per vederlo.

    Il comando seguente richiede tutti i tag LF per i quali disponete delle autorizzazioni.

    aws lakeformation list-permissions --resource-type LF_TAG

    Di seguito è riportato un esempio di output per un amministratore di data lake, che vede tutti i tag LF concessi a tutti i principali. Gli utenti non amministrativi vedono solo i tag LF concessi loro. Le autorizzazioni LF-Tag concesse da un account esterno vengono visualizzate in una pagina dei risultati separata. Per vederli, ripetete il comando e inserite nell'--next-tokenargomento il token restituito dalla precedente esecuzione del comando.

    {
    "PrincipalResourcePermissions": [
        {
            "Principal": {
                "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_admin"
            },
            "Resource": {
                "LFTag": {
                    "CatalogId": "111122223333",
                    "TagKey": "environment",
                    "TagValues": [
                        "*"
                    ]
                }
            },
            "Permissions": [
                "ASSOCIATE"
            ],
            "PermissionsWithGrantOption": [
                "ASSOCIATE"
            ]
        },
        {
            "Principal": {
                "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
            },
            "Resource": {
                "LFTag": {
                    "CatalogId": "111122223333",
                    "TagKey": "module",
                    "TagValues": [
                        "Orders",
                        "Sales"
                    ]
                }
            },
            "Permissions": [
                "DESCRIBE"
            ],
            "PermissionsWithGrantOption": []
        },
...
    ],
    "NextToken": "eyJzaG91bGRRdWVy...Wlzc2lvbnMiOnRydWV9"
}

    È possibile elencare tutte le concessioni per una chiave LF-Tag specifica. Il comando seguente restituisce tutte le autorizzazioni concesse per il tag LF. module

    aws lakeformation list-permissions --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

    È inoltre possibile elencare i valori del tag LF concessi a un principale specifico per un tag LF specifico. Quando si fornisce l'--principalargomento, è necessario fornire l'argomento. --resource Pertanto, il comando può richiedere efficacemente solo i valori concessi a un principale specifico per una chiave LF-Tag specifica. Il comando seguente mostra come eseguire questa operazione per la chiave principale datalake_user1 e per la chiave LF-Tag. module

    aws lakeformation list-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

    Di seguito è riportato un output di esempio.

    {
    "PrincipalResourcePermissions": [
        {
            "Principal": {
                "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
            },
            "Resource": {
                "LFTag": {
                    "CatalogId": "111122223333",
                    "TagKey": "module",
                    "TagValues": [
                        "Orders",
                        "Sales"
                    ]
                }
            },
            "Permissions": [
                "ASSOCIATE"
            ],
            "PermissionsWithGrantOption": []
        }
    ]
}
Per concedere i permessi sui tag LF ()AWS CLI

  1. Utilizzare un comando simile al seguente: Questo esempio concede all'utente l'Associateautorizzazione per l'uso datalake_user1 del tag LF con la chiave. module Concede le autorizzazioni per visualizzare e assegnare tutti i valori per quella chiave, come indicato dall'asterisco (*).

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

    La concessione dell'autorizzazione implica la concessione implicita dell'Associateautorizzazione. Describe

    L'esempio successivo concede Associate all' AWS account esterno 1234-5678-9012 sul tag LF con la chiave, con l'opzione grant. module Concede le autorizzazioni per visualizzare e assegnare solo i valori e. sales orders

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "ASSOCIATE" --permissions-with-grant-option "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'

  2. La concessione dell'autorizzazione implica la concessione implicita GrantWithLFTagExpression dell'autorizzazione. Describe

    L'esempio successivo concede GrantWithLFTagExpression a un utente il tag LF con la chiavemodule, con l'opzione grant. Concede le autorizzazioni per visualizzare e concedere le autorizzazioni sulle risorse del Data Catalog utilizzando solo i valori e. sales orders

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "GrantWithLFTagExpression" --permissions-with-grant-option "GrantWithLFTagExpression" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'

  3. L'esempio successivo concede Drop le autorizzazioni a un utente sul tag LF con la chiave, con l'opzione grant. module Concede le autorizzazioni per eliminare il tag LF. Per eliminare un tag LF, sono necessarie le autorizzazioni su tutti i valori di quella chiave.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DROP" --permissions-with-grant-option "DROP" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

  4. L'esempio successivo concede Alter le autorizzazioni all'utente sul tag LF con la chiave, con l'opzione grant. module Concede le autorizzazioni per eliminare il tag LF. Per aggiornare un LF-tag, sono necessarie le autorizzazioni su tutti i valori di quella chiave.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
Per revocare le autorizzazioni su LF-Tags ()AWS CLI

  • Utilizzare un comando simile al seguente: Questo esempio revoca l'Associateautorizzazione sul tag LF con la chiave dell'utente. module datalake_user1

    aws lakeformation revoke-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'