Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Concessione delle autorizzazioni per le tabelle utilizzando il metodo di risorsa denominato
Puoi utilizzare la console Lake Formation o AWS CLI concedere le autorizzazioni di Lake Formation sulle tabelle di Data Catalog. È possibile concedere autorizzazioni su singole tabelle oppure con una singola operazione di concessione, è possibile concedere autorizzazioni su tutte le tabelle di un database.
Se concedi le autorizzazioni per tutte le tabelle di un database, concedi implicitamente le autorizzazioni per il DESCRIBE
database. Il database viene quindi visualizzato nella pagina Database della console e viene restituito dall'operazione. GetDatabases
API
Quando si sceglie SELECT
come autorizzazione da concedere, è possibile applicare un filtro di colonna, un filtro di riga o un filtro di cella.
- Console
-
I passaggi seguenti spiegano come concedere le autorizzazioni alle tabelle utilizzando il metodo della risorsa denominata e la pagina Grant data lake permissions sulla console Lake Formation. La pagina è suddivisa nelle seguenti sezioni:
-
Principi: utenti, ruoli, AWS account, organizzazioni o unità organizzative a cui concedere le autorizzazioni.
-
Tag LF o risorse di catalogo: database, tabelle o collegamenti a risorse a cui concedere le autorizzazioni.
-
Autorizzazioni: autorizzazioni da concedere a The Lake Formation.
Nota
Per concedere le autorizzazioni su un collegamento a una risorsa della tabella, vedere. Concessione delle autorizzazioni per i collegamenti alle risorse
Apri la pagina Concedi le autorizzazioni del data lake.
Apri la AWS Lake Formation console all'indirizzo https://console.aws.amazon.com/lakeformation/
e accedi come amministratore del data lake, creatore della tabella o utente a cui sono state concesse le autorizzazioni sulla tabella con l'opzione di concessione. Esegui una di queste operazioni:
-
Nel riquadro di navigazione, scegli Autorizzazioni Data lake in Autorizzazioni. Quindi scegli Concedi.
-
Nel pannello di navigazione, seleziona Tabelle. Quindi, nella pagina Tabelle, scegli una tabella e nel menu Azioni, in Autorizzazioni, scegli Concedi.
Nota
Puoi concedere le autorizzazioni su una tabella tramite il relativo link alla risorsa. A tale scopo, nella pagina Tabelle, scegli un collegamento a una risorsa e nel menu Azioni scegli Concedi all'obiettivo. Per ulteriori informazioni, consulta Come funzionano i link alle risorse in Lake Formation.
-
-
Successivamente, nella sezione Principi, scegli un tipo principale e specifica i principali a cui concedere le autorizzazioni.
- IAMutenti e ruoli
-
Scegli uno o più utenti o ruoli dall'elenco IAMutenti e ruoli.
- IAMIdentity Center
-
Scegli uno o più utenti o gruppi dall'elenco Utenti e gruppi.
- SAML users and groups
-
Per QuickSight utenti SAML e gruppi Amazon, inserisci uno o più Amazon Resource Names (ARNs) per utenti o gruppi federati tramite SAML Amazon o ARNs per QuickSight utenti o gruppi Amazon. Premi Invio dopo ciascunoARN.
Per informazioni su come costruire ilARNs, vedereComandi di concessione e AWS CLI revoca di Lake Formation.
Nota
L'integrazione di Lake Formation con Amazon QuickSight è supportata solo per Amazon QuickSight Enterprise Edition.
- Account esterni
-
Per Account AWS , AWS organizzazione o IAMPrincipal inserisci una o più organizzazioni Account AWS IDs IDsIDs, unità organizzative valide o ARN per l'IAMutente o il ruolo. Premi Invio dopo ogni ID.
Un ID dell'organizzazione è composto da «o-» seguito da 10-32 lettere o cifre minuscole.
L'ID di un'unità organizzativa inizia con «ou-» seguito da 4—32 lettere o cifre minuscole (l'ID della radice che contiene l'unità organizzativa). Questa stringa è seguita da un secondo carattere «-» e da 8 a 32 lettere o cifre minuscole aggiuntive.
-
Nella sezione LF-tags o risorse del catalogo, scegliete un database. Quindi scegliete una o più tabelle o Tutte le tabelle.
-
Specificate le autorizzazioni senza filtraggio dei dati
Nella sezione Autorizzazioni, seleziona la tabella autorizzazioni da concedere e, facoltativamente, seleziona le autorizzazioni concedibili.
Se concedi Select, la sezione Autorizzazioni ai dati viene visualizzata sotto la sezione Autorizzazioni per tabelle e colonne, con l'opzione di accesso a tutti i dati selezionata per impostazione predefinita. Accetta l'impostazione predefinita.
-
Scegli Concessione.
-
Specificare l'autorizzazione Seleziona con filtraggio dei dati
Seleziona l'autorizzazione Seleziona. Non selezionare altre autorizzazioni.
La sezione Autorizzazioni per i dati viene visualizzata sotto la sezione Autorizzazioni per tabelle e colonne.
-
Esegui una di queste operazioni:
-
Applica solo un semplice filtraggio delle colonne.
-
Scegli Accesso semplice basato su colonne.
-
Scegli se includere o escludere le colonne, quindi scegli le colonne da includere o escludere.
Quando si concedono le autorizzazioni a un AWS account o a un'organizzazione esterni, sono supportati solo gli elenchi di inclusione.
-
(Facoltativo) In Autorizzazioni concedibili, attiva l'opzione di concessione per l'autorizzazione Seleziona.
Se includi l'opzione di concessione, il destinatario della concessione può concedere le autorizzazioni solo nelle colonne che gli concedi.
Nota
Puoi anche applicare il filtro delle colonne solo creando un filtro dati che specifichi un filtro di colonna e specifichi tutte le righe come filtro di riga. Tuttavia, ciò richiede ulteriori passaggi.
-
-
Applica il filtraggio di colonne, righe o celle.
-
Scegli filtri avanzati a livello di cella.
-
(Facoltativo) Espandi Visualizza le autorizzazioni esistenti.
-
(Facoltativo) Scegli Crea nuovo filtro.
-
(Facoltativo) Per visualizzare i dettagli dei filtri elencati o per creare nuovi filtri o eliminare filtri esistenti, scegli Gestisci filtri.
La pagina Filtri dati si apre in una nuova finestra del browser.
Al termine della pagina Filtri dati, torna alla pagina Concedi autorizzazioni e, se necessario, aggiorna la pagina per visualizzare i nuovi filtri di dati che hai creato.
-
Seleziona uno o più filtri di dati da applicare alla concessione.
Nota
Se non ci sono filtri di dati nell'elenco, significa che non sono stati creati filtri di dati per la tabella selezionata.
-
-
-
Scegli Concessione.
-
- AWS CLI
-
È possibile concedere le autorizzazioni per la tabella utilizzando il metodo di risorsa denominato e il AWS Command Line Interface (AWS CLI).
Per concedere i permessi alle tabelle utilizzando il AWS CLI
-
Eseguite un
grant-permissions
comando e specificate una tabella come risorsa.
Esempio — Concessione su una singola tabella, senza filtri
L'esempio seguente concede
SELECT
eALTER
all'utentedatalake_user1
nell' AWS account 1111-2222-3333 sulla tabella del database.inventory
retail
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
Nota
Se concedi l'
ALTER
autorizzazione su una tabella i cui dati sottostanti si trovano in una posizione registrata, assicurati di concedere anche ai principali i permessi di localizzazione dei dati sulla posizione. Per ulteriori informazioni, consulta Concessione delle autorizzazioni per la localizzazione dei dati.Esempio — Concedi su tutte le tabelle con l'opzione Grant: nessun filtro
L'esempio successivo concede
SELECT
con l'opzione grant su tutte le tabelle del database.retail
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --permissions-with-grant-option "SELECT" --resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
Esempio — Grant con un semplice filtraggio delle colonne
Questo esempio successivo concede autorizzazioni
SELECT
su un sottoinsieme di colonne della tabella.persons
Utilizza un semplice filtraggio delle colonne.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "TableWithColumns": {"DatabaseName":"hr", "Name":"persons", "ColumnNames":["family_name", "given_name", "gender"]}}'
Esempio — Concedi con un filtro dati
Questo esempio concede
SELECT
sullaorders
tabella e applica il filtro deirestrict-pharma
dati.aws lakeformation grant-permissions --cli-input-json file://grant-params.json
Di seguito è riportato il contenuto del file
grant-params.json
.{ "Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"}, "Resource": { "DataCellsFilter": { "TableCatalogId": "111122223333", "DatabaseName": "sales", "TableName": "orders", "Name": "restrict-pharma" } }, "Permissions": ["SELECT"], "PermissionsWithGrantOption": ["SELECT"] }
-