Concessione delle autorizzazioni al database utilizzando il metodo di risorsa denominato - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concessione delle autorizzazioni al database utilizzando il metodo di risorsa denominato

I passaggi seguenti spiegano come concedere le autorizzazioni al database utilizzando il metodo della risorsa denominata.

Console

Usa la pagina Concedi le autorizzazioni del data lake sulla console Lake Formation. La pagina è suddivisa nelle seguenti sezioni:

  • Principi: utenti, ruoli, utenti e gruppi IAM Identity Center, utenti e gruppi SAML, AWS account, organizzazioni o unità organizzative a cui concedere le autorizzazioni.

  • Tag LF o risorse del catalogo: database, tabelle, viste o collegamenti alle risorse su cui concedere le autorizzazioni.

  • Autorizzazioni: autorizzazioni da concedere a The Lake Formation.

Nota

Per concedere le autorizzazioni su un collegamento a una risorsa del database, vedere. Concessione delle autorizzazioni per i collegamenti alle risorse

  1. Apri la pagina Concedi le autorizzazioni del data lake.

    Apri la AWS Lake Formation console all'indirizzo https://console.aws.amazon.com/lakeformation/ e accedi come amministratore del data lake, creatore del database o utente IAM con autorizzazioni Grantable sul database.

    Esegui una di queste operazioni:

    • Nel riquadro di navigazione, in Autorizzazioni, scegli Autorizzazioni Data Lake. Quindi scegli Concedi.

    • Nel riquadro di navigazione, scegli Database in Data Catalog. Quindi, nella pagina Database, scegli un database e dal menu Azioni, in Autorizzazioni, scegli Concedi.

    Nota

    Puoi concedere le autorizzazioni su un database tramite il relativo link alla risorsa. A tale scopo, nella pagina Database, scegli un collegamento a una risorsa e nel menu Azioni scegli Concedi alla destinazione. Per ulteriori informazioni, consulta Come funzionano i link alle risorse in Lake Formation.

  2. Successivamente, nella sezione Principi, scegli un tipo principale e quindi specifica i principali a cui concedere le autorizzazioni.

    La sezione Principi contiene quattro riquadri denominati nel testo seguente. Ogni riquadro contiene un pulsante di opzione e un testo. Il riquadro utenti e gruppi di IAM Identity Center è selezionato e l'elenco a discesa di utenti e gruppi si trova sotto il testo seguente.
    Utenti e ruoli IAM

    Scegli uno o più utenti o ruoli dall'elenco degli utenti e dei ruoli IAM.

    IAM Identity Center

    Scegli uno o più utenti o gruppi dall'elenco Utenti e gruppi. Seleziona Aggiungi per aggiungere altri utenti o gruppi.

    Utenti e gruppi SAML

    Per QuickSight utenti e gruppi SAML e Amazon, inserisci uno o più Amazon Resource Names (ARN) per utenti o gruppi federati tramite SAML o ARN per utenti o gruppi Amazon. QuickSight Premi Invio dopo ogni ARN.

    Per informazioni su come costruire gli ARN, vedere. Comandi di concessione e AWS CLI revoca di Lake Formation

    Nota

    L'integrazione di Lake Formation con Amazon QuickSight è supportata solo per Amazon QuickSight Enterprise Edition.

    Account esterni

    Per Account AWS, AWS organizzazione o Principal IAM inserisci uno o più ID AWS account, ID organizzazione, ID unità organizzative o ARN validi per l'utente o il ruolo IAM. Premi Invio dopo ogni ID.

    Un ID dell'organizzazione è composto da «o-» seguito da 10-32 lettere o cifre minuscole.

    L'ID di un'unità organizzativa inizia con «ou-» seguito da 4—32 lettere o cifre minuscole (l'ID della radice che contiene l'unità organizzativa). Questa stringa è seguita da un secondo trattino «-» e da 8 a 32 lettere o cifre minuscole aggiuntive.

  3. Nella sezione LF-Tags o catalog resources, scegliete Named data catalog resources.

    La sezione LF-Tags o catalog resources contiene due riquadri disposti orizzontalmente, dove ogni riquadro contiene un pulsante di opzione e un testo descrittivo. Le opzioni sono Risorse abbinate a LF-Tags e Risorse nominate del catalogo di dati. Sotto i riquadri ci sono due elenchi a discesa: Database e Tabella. L'elenco a discesa Database contiene un riquadro sottostante contenente il nome del database selezionato.

  4. Scegli uno o più database dall'elenco Database. Puoi anche scegliere una o più tabelle e/o filtri di dati.

  5. Nella sezione Autorizzazioni, seleziona autorizzazioni e autorizzazioni concedibili. In Autorizzazioni del database, seleziona una o più autorizzazioni da concedere.

    La sezione Autorizzazioni contiene due riquadri, disposti orizzontalmente. Ogni riquadro contiene un pulsante di opzione e un testo. Il riquadro Autorizzazioni del database è selezionato. L'altro riquadro, Autorizzazioni basate su colonne, è disabilitato perché si riferisce ai permessi delle tabelle. Sotto i riquadri c'è un gruppo di caselle di controllo per la concessione delle autorizzazioni al database. Le caselle di controllo includono Create Table, Alter, Drop, Descrivi e Super. Al di sotto di questo gruppo c'è un altro gruppo con le stesse caselle di controllo per le autorizzazioni concesse.
    Nota

    Dopo aver concesso Create Table o Alter su un database con una proprietà location che punta a una posizione registrata, assicurati di concedere anche ai responsabili le autorizzazioni per la localizzazione dei dati sulla posizione. Per ulteriori informazioni, consulta Concessione delle autorizzazioni per la localizzazione dei dati.

  6. (Facoltativo) In Autorizzazioni concedibili, seleziona le autorizzazioni che il destinatario della sovvenzione può concedere ad altri responsabili del proprio account. AWS Questa opzione non è supportata quando si concedono autorizzazioni a un responsabile IAM da un account esterno.

  7. Scegli Concessione.

AWS CLI

È possibile concedere le autorizzazioni al database utilizzando il metodo di risorsa denominato e il AWS Command Line Interface (). AWS CLI

Per concedere le autorizzazioni al database utilizzando AWS CLI

  • Eseguite un grant-permissions comando e specificate un database o il Data Catalog come risorsa, a seconda dell'autorizzazione concessa.

    Negli esempi seguenti, sostituiscilo <account-id>con un ID AWS account valido.

    Esempio — Concedi la creazione di un database

    Questo esempio concede CREATE_DATABASE all'utentedatalake_user1. Poiché la risorsa su cui viene concessa questa autorizzazione è il Data Catalog, il comando specifica una CatalogResource struttura vuota come parametro. resource

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}'
    Esempio — Concedi la creazione di tabelle in un database designato

    L'esempio successivo concede l'CREATE_TABLEaccesso al database retail all'utentedatalake_user1.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
    Esempio — Concedi a un AWS account esterno con l'opzione Grant

    L'esempio successivo concede CREATE_TABLE con l'opzione grant sul database retail all'account esterno 1111-2222-3333.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
    Esempio — Concessione a un'organizzazione

    L'esempio successivo concede all'organizzazione ALTER o-abcdefghijkl con l'opzione di concessione sul databaseissues.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "Database": {"Name":"issues"}}'
    Esempio - Concedi a ALLIAMPrincipals nello stesso account

    L'esempio successivo concede l'CREATE_TABLEautorizzazione sul database retail a tutti i responsabili dello stesso account. Questa opzione consente a tutti i principali dell'account di creare una tabella nel database e creare un collegamento alle risorse della tabella che consente ai motori di query integrati di accedere a database e tabelle condivisi. Questa opzione è particolarmente utile quando un principale riceve una sovvenzione tra account e non dispone dell'autorizzazione per creare collegamenti alle risorse. In questo scenario, l'amministratore del data lake può creare un database segnaposto e concedere l'CREATE_TABLEautorizzazione al ALLIAMPrincipal gruppo, consentendo a ogni principale IAM dell'account di creare collegamenti alle risorse nel database placeholder. 

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE"  --resource '{ "Database": {"Name":"temp","CatalogId":"111122223333"}}'
    Esempio - Concedi a ALLIAMPrincipals in un account esterno

    L'esempio successivo concede l'CREATE_TABLEaccesso al database retail a tutti i principali di un account esterno. Questa opzione consente a tutti i principali dell'account di creare una tabella nel database.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE"  --resource '{ "Database": {"Name":"retail","CatalogId":"123456789012"}}'
Nota

Dopo aver concesso CREATE_TABLE o ALTER su un database con una proprietà location che punta a una posizione registrata, assicurati di concedere anche ai responsabili le autorizzazioni di localizzazione dei dati sulla posizione. Per ulteriori informazioni, consulta Concessione delle autorizzazioni per la localizzazione dei dati.

Consulta anche