Concessione delle autorizzazioni su un database o una tabella condivisa con il tuo account

Dopo che una risorsa Data Catalog appartenente a un altro AWS account è stata condivisa con il tuo AWS account, in qualità di amministratore del data lake, puoi concedere le autorizzazioni sulla risorsa condivisa ad altri responsabili del tuo account. Tuttavia, non puoi concedere le autorizzazioni sulla risorsa ad altri AWS account o organizzazioni.

Puoi utilizzare la AWS Lake Formation console, l'API o AWS Command Line Interface (AWS CLI) per concedere le autorizzazioni.

Per concedere le autorizzazioni su un database condiviso (denominato metodo di risorsa, console)

Segui le istruzioni in Concessione delle autorizzazioni al database utilizzando il metodo di risorsa denominato. Nell'elenco dei database sotto i tag LF o le risorse del catalogo, assicuratevi di selezionare il database nell'account esterno, non un collegamento alla risorsa per il database.

Se non vedi il database nell'elenco dei database, assicurati di aver accettato l'invito AWS Resource Access Manager (AWS RAM) alla condivisione delle risorse per il database. Per ulteriori informazioni, consulta Accettazione di un invito alla condivisione di risorse da AWS RAM.

Inoltre, per le ALTER autorizzazioni CREATE_TABLE e, segui le istruzioni riportate in Concessione delle autorizzazioni per la localizzazione dei dati (stesso account) e assicurati di inserire l'ID dell'account proprietario nel campo Ubicazione dell'account registrato.

Per concedere le autorizzazioni su una tabella condivisa (metodo di risorsa denominato, console)

Segui le istruzioni in Concessione delle autorizzazioni per le tabelle utilizzando il metodo di risorsa denominato. Nell'elenco dei database sotto i tag LF o le risorse del catalogo, assicuratevi di selezionare il database nell'account esterno, non un collegamento alla risorsa per il database.

Se non vedi la tabella nell'elenco delle tabelle, assicurati di aver accettato l'invito alla condivisione delle AWS RAM risorse per la tabella. Per ulteriori informazioni, consulta Accettazione di un invito alla condivisione di risorse da AWS RAM.

Inoltre, per l'ALTERautorizzazione, segui le istruzioni riportate e assicurati di inserire l'ID dell'account proprietario nel campo Ubicazione dell'account registrato. Concessione delle autorizzazioni per la localizzazione dei dati (stesso account)

Per concedere autorizzazioni su risorse condivise (metodo LF-TBAC, console)

Segui le istruzioni in Concessione delle autorizzazioni di Data Catalog . Nella sezione LF-Tag o risorse del catalogo, concedi l'espressione esatta del tag LF che l'account esterno ha concesso al tuo account o un sottoinsieme di quell'espressione.

Ad esempio, se un account esterno ha concesso l'espressione LF-Tag module=customers AND environment=production al vostro account con l'opzione di concessione, in qualità di amministratore del data lake, potete concedere la stessa espressione module=customers o environment=production a un responsabile del vostro account. È possibile concedere solo le stesse autorizzazioni o un sottoinsieme delle autorizzazioni di Lake Formation (ad esempio, SELECTALTER, e così via) concesse alle risorse tramite l'espressione LF-Tag.

Per concedere le autorizzazioni su una tabella condivisa (metodo denominato resource,) AWS CLI

Utilizzare un comando simile al seguente: In questo esempio:
- L'ID del tuo AWS account è 1111-2222-3333.
- L'account proprietario della tabella e che l'ha concessa al tuo account è 1234-5678-9012.
- L'SELECTautorizzazione sulla tabella condivisa viene concessa all'utente. pageviews datalake_user1 Quell'utente è il principale del tuo account.
- La pageviews tabella si trova nel analytics database, di proprietà dell'account 1234-5678-9012.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "Table": {"CatalogId":"123456789012", "DatabaseName":"analytics", "Name":"pageviews"}}'
```
Si noti che l'account proprietario deve essere specificato nella proprietà dell'argomento. CatalogId resource

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Condivisione dei dati tra account utilizzando il metodo della risorsa denominato

Concessione delle autorizzazioni per i collegamenti alle risorse