を使用した LF タグ許可の付与、取り消し、および一覧表示 AWS CLI

AWS Command Line Interface (AWS CLI) を使用して、LF タグに対するアクセス許可の付与、取り消し、および一覧表示を行うことができます。

LF タグアクセス許可を一覧表示するには (AWS CLI)

• list-permissions コマンドを入力します。これを表示するには、LF タグ作成者またはデータレイク管理者であるか、LF タグに対する Drop、Alter、Describe、Associate、Grant with LF-Tag permissions アクセス許可を持ってる必要があります。

  以下のコマンドは、アクセス許可を持っているすべての LF タグをリクエストします。

  aws lakeformation list-permissions --resource-type LF_TAG

  以下は、すべてのプリンシパルに付与されたすべての LF タグが表示される、データレイク管理者のための出力の例です。非管理ユーザーには、自分に付与された LF タグのみが表示されます。外部アカウントから付与された LF タグアクセス許可は、個別の結果ページに表示されます。それらを表示するには、コマンドの前回の実行から返されたトークンを --next-token 引数に指定して、コマンドを繰り返します。

  {
      "PrincipalResourcePermissions": [
          {
              "Principal": {
                  "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_admin"
              },
              "Resource": {
                  "LFTag": {
                      "CatalogId": "111122223333",
                      "TagKey": "environment",
                      "TagValues": [
                          "*"
                      ]
                  }
              },
              "Permissions": [
                  "ASSOCIATE"
              ],
              "PermissionsWithGrantOption": [
                  "ASSOCIATE"
              ]
          },
          {
              "Principal": {
                  "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
              },
              "Resource": {
                  "LFTag": {
                      "CatalogId": "111122223333",
                      "TagKey": "module",
                      "TagValues": [
                          "Orders",
                          "Sales"
                      ]
                  }
              },
              "Permissions": [
                  "DESCRIBE"
              ],
              "PermissionsWithGrantOption": []
          },
  ...
      ],
      "NextToken": "eyJzaG91bGRRdWVy...Wlzc2lvbnMiOnRydWV9"
  }
  
  

  特定の LF タグのキーに関するすべてのアクセス許可を一覧表示できます。次のコマンドは、module という LF タグに関して付与されたすべてのアクセス許可を返します。

  aws lakeformation list-permissions --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

  特定の LF タグに関して特定のプリンシパルに付与された LF タグの値を一覧表示することもできます。--principal 引数を指定する場合は、--resource 引数を指定する必要があります。このため、このコマンドが実質的にリクエストできるのは、特定の LF タグのキーに関して特定のプリンシパルに付与された値のみです。次のコマンドは、これをプリンシパル datalake_user1 と LF タグのキー module について行う方法を示しています。

  aws lakeformation list-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

  以下は出力例です。

  {
      "PrincipalResourcePermissions": [
          {
              "Principal": {
                  "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
              },
              "Resource": {
                  "LFTag": {
                      "CatalogId": "111122223333",
                      "TagKey": "module",
                      "TagValues": [
                          "Orders",
                          "Sales"
                      ]
                  }
              },
              "Permissions": [
                  "ASSOCIATE"
              ],
              "PermissionsWithGrantOption": []
          }
      ]
  }

LF タグに対するアクセス許可を付与するには (AWS CLI)

1. 以下のようなコマンドを入力します。この例は、module キーを持つ LF タグに対する Associate アクセス許可をユーザー datalake_user1 に付与します。これは、そのキーのすべての値 (アスタリスク (*) で示されています) を表示して割り当てる許可を付与します。

   aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

   Associate 許可の付与は、Describe 許可を黙示的に付与します。

   次の例ではAssociate、キー を持つ LF タグの外部 AWS アカウント 1234-5678-9012 に modulegrant オプションを指定して を付与します。これは、sales と orders の値のみを表示して割り当てる許可を付与します。

   aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "ASSOCIATE" --permissions-with-grant-option "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'

2. GrantWithLFTagExpression 許可の付与は、Describe 許可を黙示的に付与します。

   次の例は、キー module を持つ LF タグに対する GrantWithLFTagExpression を付与オプション付きでユーザーに付与します。データカタログリソースを表示するアクセス許可を付与し、値 sales と orders のみを使用してアクセス許可を付与するアクセス許可を付与します。

   aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "GrantWithLFTagExpression" --permissions-with-grant-option "GrantWithLFTagExpression" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'

3. 次の例は、キー module を持つ LF タグに対する Drop アクセス許可を grant オプション付きでユーザーに付与します。LF タグを削除するアクセス許可を付与します。LF タグを削除するには、そのキーのすべての値に対するアクセス許可が必要です。

   aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DROP" --permissions-with-grant-option "DROP" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

4. 次の例は、キー module を持つ LF タグに対する Alter アクセス許可を grant オプション付きでユーザーに付与します。LF タグを削除するアクセス許可を付与します。LF タグを更新するには、そのキーのすべての値に対するアクセス許可が必要です。

   aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

LF タグに対するアクセス許可を取り消すには (AWS CLI)

• 以下のようなコマンドを入力します。この例は、module キーを持つ LF タグに対する Associate 許可をユーザー datalake_user1 から取り消します。

  aws lakeformation revoke-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'