Concessione delle autorizzazioni per la localizzazione dei dati (account esterno) - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concessione delle autorizzazioni per la localizzazione dei dati (account esterno)

Segui questi passaggi per concedere le autorizzazioni per la localizzazione dei dati a un AWS account o a un'organizzazione esterni.

Puoi concedere le autorizzazioni utilizzando la console Lake Formation, l'API o AWS Command Line Interface (AWS CLI).

Prima di iniziare

Assicurati che tutti i prerequisiti di accesso tra account siano soddisfatti. Per ulteriori informazioni, consulta Prerequisiti.

Per concedere le autorizzazioni per la localizzazione dei dati (account esterno, console)
  1. Apri la AWS Lake Formation console all'indirizzo https://console.aws.amazon.com/lakeformation/. Accedi come amministratore del data lake.

  2. Nel riquadro di navigazione, in Autorizzazioni, scegli Posizioni dei dati, quindi scegli Concedi.

  3. Nella finestra di dialogo Concedi autorizzazioni, scegli il riquadro Account esterno.

  4. Inserisci le informazioni che seguono:

    • Per l'ID dell'AWS account o AWS l'ID dell'organizzazione, inserisci numeri di AWS conto, ID dell'organizzazione o ID delle unità organizzative validi.

      Premi Invio dopo ogni ID.

      Un ID dell'organizzazione è composto da «o-» seguito da 10-32 lettere o cifre minuscole.

      L'ID di un'unità organizzativa è composto da «ou-» seguito da 4 a 32 lettere o cifre minuscole (l'ID della radice che contiene l'unità organizzativa). Questa stringa è seguita da un secondo «-» (trattino) e da 8 a 32 lettere o cifre minuscole aggiuntive.

    • In Luoghi di archiviazione, scegli Browse e scegli una posizione di storage Amazon Simple Storage Service (Amazon S3). La sede deve essere registrata presso Lake Formation.

    Nella finestra di dialogo Concedi l'autorizzazione viene selezionato il pulsante di opzione Account esterno, viene specificato un AWS account e viene specificata una posizione di archiviazione.
  5. Seleziona Grantable.

  6. Scegli Concessione.

Per concedere le autorizzazioni per la localizzazione dei dati (account esterno,) AWS CLI
  • Per concedere le autorizzazioni a un AWS account esterno, inserisci un comando simile al seguente.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'

    Questo comando concede l'opzione di concessione DATA_LOCATION_ACCESS all'account 1111-2222-3333 nella posizione s3://retail/transactions/2020q1 Amazon S3, che è di proprietà dell'account 1234-5678-9012.

    Per concedere le autorizzazioni a un'organizzazione, inserisci un comando simile al seguente.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{"DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'

    Questo comando concede un'opzione DATA_LOCATION_ACCESS di concessione all'organizzazione o-abcdefghijkl nella s3://retail/transactions/2020q1 posizione Amazon S3, che è di proprietà dell'account 1234-5678-9012.

    Per concedere le autorizzazioni a un principale in un AWS account esterno, inserisci un comando simile al seguente.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3::retail/transactions/2020q1", "CatalogId": "123456789012"}}'

    Questo comando concede DATA_LOCATION_ACCESS a un principale nell'account 1111-2222-3333 nella posizione s3://retail/transactions/2020q1 Amazon S3, che è di proprietà dell'account 1234-5678-9012.

    L'esempio seguente concede le autorizzazioni di localizzazione dei dati per il raggruppamento in un account esterno. s3://retail ALLIAMPrincipals

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "123456789012"}}'