Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Concessione delle autorizzazioni al database utilizzando il metodo di risorsa denominato
I passaggi seguenti spiegano come concedere le autorizzazioni al database utilizzando il metodo della risorsa denominata.
- Console
-
Usa la pagina Concedi le autorizzazioni del data lake sulla console Lake Formation. La pagina è suddivisa nelle seguenti sezioni:
-
Principi: IAM utenti, ruoli, utenti e gruppi di IAM Identity Center, SAML utenti e gruppi, AWS account, organizzazioni o unità organizzative a cui concedere le autorizzazioni.
-
LF-Tag o risorse del catalogo: database, tabelle, viste o collegamenti alle risorse a cui concedere le autorizzazioni.
-
Autorizzazioni: autorizzazioni da concedere a The Lake Formation.
Nota
Per concedere le autorizzazioni su un collegamento a una risorsa del database, vedere. Concessione delle autorizzazioni per i collegamenti alle risorse
Apri la pagina Concedi le autorizzazioni del data lake.
Apri la AWS Lake Formation console all'indirizzo https://console.aws.amazon.com/lakeformation/
e accedi come amministratore del data lake, creatore del database o IAM utente con autorizzazioni Grantable sul database. Esegui una di queste operazioni:
-
Nel riquadro di navigazione, in Autorizzazioni, scegli Autorizzazioni Data Lake. Quindi scegli Concedi.
-
Nel riquadro di navigazione, scegli Database in Data Catalog. Quindi, nella pagina Database, scegli un database e dal menu Azioni, in Autorizzazioni, scegli Concedi.
Nota
Puoi concedere le autorizzazioni su un database tramite il relativo link alla risorsa. A tale scopo, nella pagina Database, scegli un collegamento a una risorsa e nel menu Azioni scegli Concedi alla destinazione. Per ulteriori informazioni, consulta Come funzionano i link alle risorse in Lake Formation.
-
-
Successivamente, nella sezione Principi, scegli un tipo principale e quindi specifica i principali a cui concedere le autorizzazioni.
- IAMutenti e ruoli
-
Scegli uno o più utenti o ruoli dall'elenco IAMutenti e ruoli.
- IAMIdentity Center
-
Scegli uno o più utenti o gruppi dall'elenco Utenti e gruppi. Seleziona Aggiungi per aggiungere altri utenti o gruppi.
- SAML users and groups
-
Per QuickSight utenti SAML e gruppi Amazon, inserisci uno o più Amazon Resource Names (ARNs) per utenti o gruppi federati tramite SAML Amazon o ARNs per QuickSight utenti o gruppi Amazon. Premi Invio dopo ciascunoARN.
Per informazioni su come costruire ilARNs, vedereComandi di concessione e AWS CLI revoca di Lake Formation.
Nota
L'integrazione di Lake Formation con Amazon QuickSight è supportata solo per Amazon QuickSight Enterprise Edition.
- Account esterni
-
Per Account AWS, AWS organizzazione o IAMPrincipal inserisci uno o più AWS accountIDs, organizzazione IDsIDs, unità organizzativa o ARN per l'IAMutente o il ruolo validi. Premi Invio dopo ogni ID.
Un ID dell'organizzazione è composto da «o-» seguito da 10-32 lettere o cifre minuscole.
L'ID di un'unità organizzativa inizia con «ou-» seguito da 4—32 lettere o cifre minuscole (l'ID della radice che contiene l'unità organizzativa). Questa stringa è seguita da un secondo trattino «-» e da 8 a 32 lettere o cifre minuscole aggiuntive.
-
Nella sezione LF-tags o catalog resources, scegliete Named data catalog resources.
-
Scegli uno o più database dall'elenco Database. Puoi anche scegliere una o più tabelle e/o filtri di dati.
-
Nella sezione Autorizzazioni, seleziona autorizzazioni e autorizzazioni concedibili. In Autorizzazioni del database, seleziona una o più autorizzazioni da concedere.
Nota
Dopo aver concesso
Create Table
oAlter
su un database con una proprietà location che punta a una posizione registrata, assicurati di concedere anche ai responsabili le autorizzazioni per la localizzazione dei dati sulla posizione. Per ulteriori informazioni, consulta Concessione delle autorizzazioni per la localizzazione dei dati. -
(Facoltativo) In Autorizzazioni concedibili, seleziona le autorizzazioni che il destinatario della sovvenzione può concedere ad altri responsabili del proprio account. AWS Questa opzione non è supportata quando si concedono autorizzazioni a un responsabile da un account esterno. IAM
-
Scegli Concessione.
-
- AWS CLI
-
È possibile concedere le autorizzazioni per il database utilizzando il metodo di risorsa denominato e il AWS Command Line Interface ().AWS CLI
Per concedere le autorizzazioni al database utilizzando il AWS CLI
-
Eseguite un
grant-permissions
comando e specificate un database o il Data Catalog come risorsa, a seconda dell'autorizzazione concessa.Negli esempi seguenti, sostituisci
<account-id>
con un ID AWS account valido.Esempio — Concedi la creazione di un database
Questo esempio concede
CREATE_DATABASE
all'utentedatalake_user1
. Poiché la risorsa su cui viene concessa questa autorizzazione è il Data Catalog, il comando specifica unaCatalogResource
struttura vuota come parametro.resource
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::
<account-id>
:user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}'Esempio — Concedi la creazione di tabelle in un database designato
L'esempio successivo concede l'
CREATE_TABLE
accesso al databaseretail
all'utentedatalake_user1
.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::
<account-id>
:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'Esempio — Concedi a un AWS account esterno con l'opzione Grant
L'esempio successivo concede
CREATE_TABLE
con l'opzione grant sul databaseretail
all'account esterno 1111-2222-3333.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
Esempio — Concessione a un'organizzazione
L'esempio successivo concede all'organizzazione
ALTER
o-abcdefghijkl
con l'opzione di concessione sul databaseissues
.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "Database": {"Name":"issues"}}'
Esempio - Concedi a
ALLIAMPrincipals
nello stesso accountL'esempio successivo concede l'
CREATE_TABLE
autorizzazione sul databaseretail
a tutti i responsabili dello stesso account. Questa opzione consente a tutti i principali dell'account di creare una tabella nel database e creare un collegamento alle risorse della tabella che consente ai motori di query integrati di accedere a database e tabelle condivisi. Questa opzione è particolarmente utile quando un principale riceve una sovvenzione tra account e non dispone dell'autorizzazione per creare collegamenti alle risorse. In questo scenario, l'amministratore del data lake può creare un database segnaposto e concedere l'CREATE_TABLE
autorizzazione alALLIAMPrincipal
gruppo, consentendo a tutti i IAM principali dell'account di creare collegamenti alle risorse nel database segnaposto.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"temp","CatalogId":"111122223333"}}'
Esempio - Concedi a
ALLIAMPrincipals
in un account esternoL'esempio successivo concede l'
CREATE_TABLE
accesso al databaseretail
a tutti i principali di un account esterno. Questa opzione consente a ogni principale dell'account di creare una tabella nel database.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail","CatalogId":"123456789012"}}'
Nota
Dopo aver concesso
CREATE_TABLE
oALTER
su un database con una proprietà location che punta a una posizione registrata, assicurati di concedere anche ai responsabili le autorizzazioni di localizzazione dei dati sulla posizione. Per ulteriori informazioni, consulta Concessione delle autorizzazioni per la localizzazione dei dati. -