AWS CLI및 LF-TBAC 방법을 사용하여 데이터 카탈로그 권한 부여

AWS Command Line Interface(AWS CLI) 및 Lake Formation 태그 기반 액세스 제어 (LF-TBAC) 메서드를 사용하여 데이터 카탈로그 데이터베이스, 테이블 및 열에 Lake Formation 권한을 부여할 수 있습니다.

LF-TBAC () 를 사용하여 데이터 카탈로그 권한을 부여하려면 AWS CLI

• grant-permissions 명령을 사용합니다.

  다음 예에서는 LF-Tag 표현식 "module=*" (LF-Tag 키의 모든 값) 을 사용자에게 부여합니다. module datalake_user1 해당 사용자는 일치하는 모든 데이터베이스, 즉 어떤 값이든 키와 함께 LF-태그가 할당된 데이터베이스에 대한 CREATE_TABLE 권한을 갖게 됩니다. module

  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["*"]}]}}' 

  다음 예제에서는 LF-Tag 표현식 "“을 사용자에게 부여합니다. (level=director) AND (region=west OR region=south) datalake_user1 해당 사용자는 일치하는 테이블 SELECTALTER, 즉 및 (또는) 가 모두 할당된 테이블에 대해 부여 옵션과 함께, level=director 및 DROP 권한을 가집니다. region=west region=south

  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" "DROP" --permissions-with-grant-option "SELECT" "ALTER" "DROP" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"TABLE","Expression": [{"TagKey": "level","TagValues": ["director"]},{"TagKey": "region","TagValues": ["west", "south"]}]}}'

  다음 예에서는 LF-태그 표현식 module=orders "“을 1234-5678-9012 계정에 부여합니다. AWS 그러면 해당 계정의 데이터 레이크 관리자가 해당 계정의 보안 주체에게 "" 표현식을 부여할 수 있습니다. module=orders 그러면 해당 주체는 지정된 리소스 방법 또는 LF-TBAC 방법을 사용하여 계정 1111-2222-3333이 소유하고 계정 1234-5678-9012와 공유한 데이터베이스를 일치시킬 수 있는 CREATE_TABLE 권한을 갖게 됩니다.

  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["orders"]}]}}'