Concessione delle autorizzazioni per le tabelle utilizzando il metodo di risorsa denominato - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concessione delle autorizzazioni per le tabelle utilizzando il metodo di risorsa denominato

Puoi utilizzare la console Lake Formation o AWS CLI concedere le autorizzazioni di Lake Formation sulle tabelle di Data Catalog. È possibile concedere autorizzazioni su singole tabelle oppure con una singola operazione di concessione, è possibile concedere autorizzazioni su tutte le tabelle di un database.

Se concedi le autorizzazioni per tutte le tabelle di un database, concedi implicitamente le autorizzazioni per il DESCRIBE database. Il database viene quindi visualizzato nella pagina Database della console e viene restituito dall'operazione. GetDatabases API

Quando si sceglie SELECT come autorizzazione da concedere, è possibile applicare un filtro di colonna, un filtro di riga o un filtro di cella.

Console

I passaggi seguenti spiegano come concedere le autorizzazioni alle tabelle utilizzando il metodo della risorsa denominata e la pagina Grant data lake permissions sulla console Lake Formation. La pagina è suddivisa nelle seguenti sezioni:

  • Principi: utenti, ruoli, AWS account, organizzazioni o unità organizzative a cui concedere le autorizzazioni.

  • Tag LF o risorse di catalogo: database, tabelle o collegamenti a risorse a cui concedere le autorizzazioni.

  • Autorizzazioni: autorizzazioni da concedere a The Lake Formation.

Nota

Per concedere le autorizzazioni su un collegamento a una risorsa della tabella, vedere. Concessione delle autorizzazioni per i collegamenti alle risorse

  1. Apri la pagina Concedi le autorizzazioni del data lake.

    Apri la AWS Lake Formation console all'indirizzo https://console.aws.amazon.com/lakeformation/e accedi come amministratore del data lake, creatore della tabella o utente a cui sono state concesse le autorizzazioni sulla tabella con l'opzione di concessione.

    Esegui una di queste operazioni:

    • Nel riquadro di navigazione, scegli Autorizzazioni Data lake in Autorizzazioni. Quindi scegli Concedi.

    • Nel pannello di navigazione, seleziona Tabelle. Quindi, nella pagina Tabelle, scegli una tabella e nel menu Azioni, in Autorizzazioni, scegli Concedi.

    Nota

    Puoi concedere le autorizzazioni su una tabella tramite il relativo link alla risorsa. A tale scopo, nella pagina Tabelle, scegli un collegamento a una risorsa e nel menu Azioni scegli Concedi all'obiettivo. Per ulteriori informazioni, consulta Come funzionano i link alle risorse in Lake Formation.

  2. Successivamente, nella sezione Principi, scegli un tipo principale e specifica i principali a cui concedere le autorizzazioni.

    La sezione Principi contiene tre riquadri denominati nel testo seguente. Ogni riquadro contiene un pulsante di opzione e un testo. Il riquadro Utenti e gruppi di IAM Identity Center è selezionato e un elenco a discesa di IAM utenti e ruoli si trova sotto i riquadri.
    IAMutenti e ruoli

    Scegli uno o più utenti o ruoli dall'elenco IAMutenti e ruoli.

    IAMIdentity Center

    Scegli uno o più utenti o gruppi dall'elenco Utenti e gruppi.

    SAML users and groups

    Per QuickSight utenti SAML e gruppi Amazon, inserisci uno o più Amazon Resource Names (ARNs) per utenti o gruppi federati tramite SAML Amazon o ARNs per QuickSight utenti o gruppi Amazon. Premi Invio dopo ciascunoARN.

    Per informazioni su come costruire ilARNs, vedereComandi di concessione e AWS CLI revoca di Lake Formation.

    Nota

    L'integrazione di Lake Formation con Amazon QuickSight è supportata solo per Amazon QuickSight Enterprise Edition.

    Account esterni

    Per Account AWS , AWS organizzazione o IAMPrincipal inserisci una o più organizzazioni Account AWS IDs IDsIDs, unità organizzative valide o ARN per l'IAMutente o il ruolo. Premi Invio dopo ogni ID.

    Un ID dell'organizzazione è composto da «o-» seguito da 10-32 lettere o cifre minuscole.

    L'ID di un'unità organizzativa inizia con «ou-» seguito da 4—32 lettere o cifre minuscole (l'ID della radice che contiene l'unità organizzativa). Questa stringa è seguita da un secondo carattere «-» e da 8 a 32 lettere o cifre minuscole aggiuntive.

  3. Nella sezione LF-tags o risorse del catalogo, scegliete un database. Quindi scegliete una o più tabelle o Tutte le tabelle.

    La sezione LF-Tags o risorse del catalogo contiene due riquadri disposti orizzontalmente, in cui ogni riquadro contiene un pulsante di opzione e un testo descrittivo. Le opzioni sono Risorse abbinate a LF-Tags e Risorse nominate del catalogo di dati. Sono selezionate le risorse denominate del catalogo dati. Sotto i riquadri ci sono due elenchi a discesa: Database e Tabella. L'elenco a discesa Database contiene un riquadro sottostante contenente il nome del database selezionato. L'elenco a discesa Tabella contiene un riquadro sottostante contenente il nome della tabella selezionata.
  4. Specificate le autorizzazioni senza filtraggio dei dati

    Nella sezione Autorizzazioni, seleziona la tabella autorizzazioni da concedere e, facoltativamente, seleziona le autorizzazioni concedibili.

    La sezione Autorizzazioni per tabelle e colonne contiene due sottosezioni: Autorizzazioni per tabelle e Autorizzazioni concedibili. Ogni sottosezione ha una casella di controllo per ogni possibile autorizzazione di Lake Formation: Alter, Insert, Drop, Delete, Select, Descrivi e Super. L'autorizzazione Super è impostata a destra delle altre autorizzazioni e ha una descrizione: «Questa autorizzazione consente al principale di concedere qualsiasi autorizzazione a sinistra e sostituisce quelle consentite».

    Se concedi Select, la sezione Autorizzazioni ai dati viene visualizzata sotto la sezione Autorizzazioni per tabelle e colonne, con l'opzione di accesso a tutti i dati selezionata per impostazione predefinita. Accetta l'impostazione predefinita.

    La sezione contiene tre riquadri, disposti orizzontalmente, ciascuno con un pulsante di opzione e una descrizione. I pulsanti di opzione sono: Accesso a tutti i dati (selezionato), Accesso semplice basato su colonne e filtri avanzati a livello di cella.
  5. Scegli Concessione.

  6. Specificare l'autorizzazione Seleziona con filtraggio dei dati

    Seleziona l'autorizzazione Seleziona. Non selezionare altre autorizzazioni.

    La sezione Autorizzazioni per i dati viene visualizzata sotto la sezione Autorizzazioni per tabelle e colonne.

  7. Esegui una di queste operazioni:

    • Applica solo un semplice filtraggio delle colonne.

      1. Scegli Accesso semplice basato su colonne.

        La sezione superiore è la sezione Autorizzazioni per tabelle e colonne. È descritto nella schermata precedente. Contiene caselle di controllo per i permessi delle tabelle e i permessi concedibili. La sezione inferiore, Autorizzazioni dati, ha tre riquadri disposti orizzontalmente, in cui ogni riquadro ha un pulsante di opzione e una descrizione. Le opzioni sono Accesso a tutti i dati, Accesso semplice basato su colonne e Filtri avanzati a livello di cella. È selezionata l'opzione di accesso semplice basato su colonne. Sotto i riquadri c'è un gruppo di pulsanti di opzione con l'etichetta Scegli il filtro di autorizzazione. Le opzioni sono Includi colonne ed Escludi colonne. Sotto il gruppo di opzioni c'è un elenco a discesa Seleziona colonne, al di sotto di esso c'è una sottosezione Autorizzazioni concesse, che contiene una singola casella di controllo denominata Seleziona.
      2. Scegli se includere o escludere le colonne, quindi scegli le colonne da includere o escludere.

        Quando si concedono le autorizzazioni a un AWS account o a un'organizzazione esterni, sono supportati solo gli elenchi di inclusione.

      3. (Facoltativo) In Autorizzazioni concedibili, attiva l'opzione di concessione per l'autorizzazione Seleziona.

        Se includi l'opzione di concessione, il destinatario della concessione può concedere le autorizzazioni solo nelle colonne che gli concedi.

      Nota

      Puoi anche applicare il filtro delle colonne solo creando un filtro dati che specifichi un filtro di colonna e specifichi tutte le righe come filtro di riga. Tuttavia, ciò richiede ulteriori passaggi.

    • Applica il filtraggio di colonne, righe o celle.

      1. Scegli filtri avanzati a livello di cella.

        Questa sezione, intitolata Autorizzazioni per i dati, si trova sotto la sezione Autorizzazioni della tabella. Ha tre riquadri disposti orizzontalmente, dove ogni riquadro ha un pulsante di opzione e una descrizione. Le opzioni sono Accesso a tutti i dati, Accesso semplice basato su colonne e Filtri avanzati a livello di cella. L'opzione Filtri avanzati a livello di cella è selezionata. Sotto i riquadri c'è l'etichetta Visualizza le autorizzazioni esistenti con un triangolo di esposizione a sinistra. Le autorizzazioni esistenti non sono esposte. Di seguito è riportata una sezione intitolata Filtri di dati da concedere. A destra del titolo ci sono tre pulsanti: Aggiorna, Gestisci filtri e Crea nuovo filtro. Sotto il titolo e i pulsanti c'è un campo di testo con il testo segnaposto «Trova filtro». Di seguito è riportata una tabella dei filtri esistenti. Ogni riga ha una casella di controllo a sinistra. Le intestazioni delle colonne sono Filter name, Table, Database e Table catalog ID. Sono presenti due righe. Il nome del filtro nella prima riga è restrict-pharma. Il nome nella seconda riga è no-pharma.
      2. (Facoltativo) Espandi Visualizza le autorizzazioni esistenti.

      3. (Facoltativo) Scegli Crea nuovo filtro.

      4. (Facoltativo) Per visualizzare i dettagli dei filtri elencati o per creare nuovi filtri o eliminare filtri esistenti, scegli Gestisci filtri.

        La pagina Filtri dati si apre in una nuova finestra del browser.

        Al termine della pagina Filtri dati, torna alla pagina Concedi autorizzazioni e, se necessario, aggiorna la pagina per visualizzare i nuovi filtri di dati che hai creato.

      5. Seleziona uno o più filtri di dati da applicare alla concessione.

        Nota

        Se non ci sono filtri di dati nell'elenco, significa che non sono stati creati filtri di dati per la tabella selezionata.

  8. Scegli Concessione.

AWS CLI

È possibile concedere le autorizzazioni per la tabella utilizzando il metodo di risorsa denominato e il AWS Command Line Interface (AWS CLI).

Per concedere i permessi alle tabelle utilizzando il AWS CLI
  • Eseguite un grant-permissions comando e specificate una tabella come risorsa.

Esempio — Concessione su una singola tabella, senza filtri

L'esempio seguente concede SELECT e ALTER all'utente datalake_user1 nell' AWS account 1111-2222-3333 sulla tabella del database. inventory retail

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
Nota

Se concedi l'ALTERautorizzazione su una tabella i cui dati sottostanti si trovano in una posizione registrata, assicurati di concedere anche ai principali i permessi di localizzazione dei dati sulla posizione. Per ulteriori informazioni, consulta Concessione delle autorizzazioni per la localizzazione dei dati.

Esempio — Concedi su tutte le tabelle con l'opzione Grant: nessun filtro

L'esempio successivo concede SELECT con l'opzione grant su tutte le tabelle del database. retail

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --permissions-with-grant-option "SELECT" --resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
Esempio — Grant con un semplice filtraggio delle colonne

Questo esempio successivo concede autorizzazioni SELECT su un sottoinsieme di colonne della tabella. persons Utilizza un semplice filtraggio delle colonne.

aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "TableWithColumns": {"DatabaseName":"hr", "Name":"persons", "ColumnNames":["family_name", "given_name", "gender"]}}'
Esempio — Concedi con un filtro dati

Questo esempio concede SELECT sulla orders tabella e applica il filtro dei restrict-pharma dati.

aws lakeformation grant-permissions --cli-input-json file://grant-params.json

Di seguito è riportato il contenuto del filegrant-params.json.

{ "Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"}, "Resource": { "DataCellsFilter": { "TableCatalogId": "111122223333", "DatabaseName": "sales", "TableName": "orders", "Name": "restrict-pharma" } }, "Permissions": ["SELECT"], "PermissionsWithGrantOption": ["SELECT"] }