다음을 사용하여 LF-Tag 권한 부여, 취소 및 등재 AWS CLI - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다음을 사용하여 LF-Tag 권한 부여, 취소 및 등재 AWS CLI

() 를 사용하여 LF-태그에 대한 권한을 부여, 취소 및 나열할 수 있습니다. AWS Command Line Interface AWS CLI

LF-태그 권한을 나열하려면 () AWS CLI

  • 명령을 입력합니다. list-permissions LF 태그를 보려면 LF-태그 생성자 또는 데이터 레이크 관리자이거나,Drop,, Alter DescribeAssociate, LF 태그에 대한 Grant with LF-Tag permissions 권한이 있어야 합니다.

    다음 명령은 권한이 있는 모든 LF-태그를 요청합니다.

    aws lakeformation list-permissions --resource-type LF_TAG

    다음은 모든 보안 주체에게 부여된 모든 LF-태그를 볼 수 있는 데이터 레이크 관리자를 위한 샘플 출력입니다. 관리자가 아닌 사용자에게는 부여된 LF-태그만 표시됩니다. 외부 계정에서 부여된 LF-tag 권한은 별도의 결과 페이지에 표시됩니다. 이를 확인하려면 명령을 반복하고 이전 명령 실행에서 반환된 토큰을 --next-token 인수에 제공하십시오.

    {
    "PrincipalResourcePermissions": [
        {
            "Principal": {
                "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_admin"
            },
            "Resource": {
                "LFTag": {
                    "CatalogId": "111122223333",
                    "TagKey": "environment",
                    "TagValues": [
                        "*"
                    ]
                }
            },
            "Permissions": [
                "ASSOCIATE"
            ],
            "PermissionsWithGrantOption": [
                "ASSOCIATE"
            ]
        },
        {
            "Principal": {
                "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
            },
            "Resource": {
                "LFTag": {
                    "CatalogId": "111122223333",
                    "TagKey": "module",
                    "TagValues": [
                        "Orders",
                        "Sales"
                    ]
                }
            },
            "Permissions": [
                "DESCRIBE"
            ],
            "PermissionsWithGrantOption": []
        },
...
    ],
    "NextToken": "eyJzaG91bGRRdWVy...Wlzc2lvbnMiOnRydWV9"
}

    특정 LF-Tag 키에 대한 모든 권한 부여를 나열할 수 있습니다. 다음 명령은 LF-태그에 부여된 모든 권한을 반환합니다. module 

    aws lakeformation list-permissions --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

    특정 LF 태그에 대해 특정 보안 주체에게 부여된 LF-Tag 값을 나열할 수도 있습니다. --principal인수를 제공할 때는 인수를 제공해야 합니다. --resource 따라서 명령은 특정 LF-tag 키에 대해 특정 보안 주체에게 부여된 값만 효과적으로 요청할 수 있습니다. 다음 명령은 주 키 datalake_user1 및 LF-Tag 키에 대해 이 작업을 수행하는 방법을 보여줍니다. module 

    aws lakeformation list-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

    다음은 출력 샘플입니다.

    {
    "PrincipalResourcePermissions": [
        {
            "Principal": {
                "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
            },
            "Resource": {
                "LFTag": {
                    "CatalogId": "111122223333",
                    "TagKey": "module",
                    "TagValues": [
                        "Orders",
                        "Sales"
                    ]
                }
            },
            "Permissions": [
                "ASSOCIATE"
            ],
            "PermissionsWithGrantOption": []
        }
    ]
}
LF-tag에 대한 권한 부여하기 () AWS CLI

  1. 다음과 유사한 명령을 입력합니다. 이 예제는 사용자에게 datalake_user1 키가 있는 LF-태그에 대한 Associate 권한을 부여합니다. module 별표 (*) 로 표시된 대로 해당 키의 모든 값을 보고 할당할 수 있는 권한을 부여합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

    권한을 부여하면 암시적으로 Associate 권한이 부여됩니다. Describe

    다음 예에서는 Associate LF-태그의 외부 AWS 계정 1234-5678-9012에 키와 권한 부여 옵션을 함께 부여합니다. module 값과 값만 보고 할당할 수 있는 권한을 부여합니다. sales orders 

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "ASSOCIATE" --permissions-with-grant-option "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'

  2. 권한을 부여하면 암시적으로 GrantWithLFTagExpression 권한이 부여됩니다. Describe

    다음 예시에서는 GrantWithLFTagExpression LF-Tag에 있는 사용자에게 키와 module 권한 부여 옵션을 함께 부여합니다. 값과 sales 값만 사용하여 Data Catalog 리소스를 보고 권한을 부여할 수 있는 권한을 부여합니다. orders 

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "GrantWithLFTagExpression" --permissions-with-grant-option "GrantWithLFTagExpression" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'

  3. 다음 예에서는 키와 Drop module 권한 부여 옵션을 사용하여 LF-태그에 대한 권한을 사용자에게 부여합니다. LF-태그를 삭제할 권한을 부여합니다. LF 태그를 삭제하려면 해당 키의 모든 값에 대한 권한이 필요합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DROP" --permissions-with-grant-option "DROP" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

  4. 다음 예시에서는 키를 module 가진 LF-태그에 대한 Alter 권한을 부여 옵션과 함께 사용자에게 부여합니다. LF-태그를 삭제할 권한을 부여합니다. LF 태그를 업데이트하려면 해당 키의 모든 값에 대한 권한이 필요합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
LF-tag에 대한 권한을 취소하려면 () AWS CLI

  • 다음과 유사한 명령을 입력합니다. 이 예시는 사용자의 키를 사용하여 Associate LF-태그에 대한 권한을 취소합니다. module datalake_user1 

    aws lakeformation revoke-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'