授予資料位置權限 (相同帳戶)

請依照下列步驟將資料位置權限授與您 AWS 帳戶中的主體。您可以使用 Lake Formation 控制台，API 或 AWS Command Line Interface （AWS CLI）來授予權限。

授與資料位置權限 (相同帳戶、主控台)

1. 請在以下位置開啟 AWS Lake Formation 主控台。 https://console.aws.amazon.com/lakeformation/ 以資料湖管理員或擁有所需資料位置權限的主參與者身分登入。

2. 在功能窗格的 [權限] 下，選擇 [資料位置]。

3. 選擇 Grant (授予)。

4. 在 [授與權限] 對話方塊中，確定已選取 [我的帳戶] 磚。然後提供下列資訊：

   • 對於 IAM 使用者和角色，請選擇一或多個主體。

   • 對於 SAML 和 Amazon QuickSight 使用者和群組，請為使用者或透過 SAML 或 ARN 聯合的使用者或針對 Amazon 使用者或群組的 ARN 輸入一或多個 Amazon 資源名稱 (ARN)。 QuickSight

     一次輸入一個 ARN，然後在每個 ARN 之後按 Enter。如需有關如何建構 ARN 的資訊，請參閱Lake Formation 授予和撤銷 AWS CLI 命令。

   • 對於儲存位置，請選擇瀏覽，然後選擇 Amazon Simple Storage Service (Amazon S3) 儲存位置。該地點必須在形成湖泊登記。再次選擇「瀏覽」以新增其他位置。您也可以鍵入位置，但請務必在位置之前使用s3://。

   • 對於註冊帳戶地點，請輸入註冊地點的 AWS 帳戶 ID。這預設為您的帳戶 ID。在跨帳戶案例中，收件者帳戶中的資料湖管理員可以在將資料位置權限授與收件者帳戶中的其他主體時，在此處指定擁有者帳戶。

   • (選擇性) 若要讓選取的主參與者授與所選位置的資料位置權限，請選取可授與。

   

5. 選擇 Grant (授予)。

若要授與資料位置權限 (相同帳戶， AWS CLI)

• 執行grant-permissions命令並授與主體，並DATA_LOCATION_ACCESS將 Amazon S3 路徑指定為資源。

  下列範例會將資料位置權限授與s3://retail使用者datalake_user1。

  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail"}}'

  下列範例會授與ALLIAMPrincipals群組的資料位置權限。s3://retail

  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "111122223333"}}'

另請參閱:

• Lake Formation 權限參考