將許可授予使用者和群組 - AWS Lake Formation

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將許可授予使用者和群組

您的資料湖管理員可以將許可授予 Data Catalog 資源 (資料庫、資料表和檢視) 上的 IAM Identity Center 使用者和群組,以允許輕鬆存取資料。若要授予或撤銷資料湖許可,授予者需要下列 IAM Identity Center 動作的許可。

您可以使用 Lake Formation 主控台、 API或 授予許可 AWS CLI。

如需授予許可的詳細資訊,請參閱 授予 Data Catalog 資源的許可

注意

您只能授予帳戶中資源的許可。若要在與您共用的資源上將許可級聯至使用者和群組,您必須使用 AWS RAM 資源共用。

AWS Management Console
將許可授予使用者和群組

  1. 登入 AWS Management Console,然後在 開啟 Lake Formation 主控台https://console.aws.amazon.com/lakeformation/

  2. Lake Formation 主控台的許可下選取 Data lake 許可

  3. 選取授予

  4. 授予資料湖許可頁面上,選擇SSM使用者和群組。

  5. 選取新增以選擇要授予許可的使用者和群組。

    授予選取 IAM Identity Center 使用者和群組的資料湖許可畫面。

  6. 指派使用者和群組畫面上,選擇要授予許可的使用者和/或群組。

    選取指派

    授予選取 IAM Identity Center 使用者和群組的資料湖許可畫面。

  7. 接下來,選擇授予許可的方法。

    如需使用具名資源方法授予許可的指示,請參閱 使用具名資源方法授予資料湖許可

    如需使用 LF 標籤授予許可的指示,請參閱 使用 LF-TBAC 方法授予資料湖許可

  8. 選擇您要授予許可的資料型錄資源。

  9. 選擇要授予的資料型錄許可。

  10. 選取授予

AWS CLI

下列範例顯示如何在資料表上授予 IAM Identity Center 使用者SELECT許可。

aws lakeformation grant-permissions \
--principal DataLakePrincipalIdentifier=arn:aws:identitystore:::user/<UserId> \
--permissions "SELECT" \
--resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'

若要UserId從 IAM Identity Center 擷取,請參閱 IAM Identity Center API參考中的GetUserId操作。