本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用指定的資源方法授與資料表權限
您可以使用 Lake Formation 主控台,或 AWS CLI 授與「資料目錄」表格上的「Lake Formation」權限。您可以授與個別資料表的權限,或透過單一授與作業授與資料庫中所有資料表的權限。
如果您授與資料庫中所有資料表的權限,就會隱含地授與資料庫的DESCRIBE
權限。然後資料庫會顯示在主控台的 [資料庫] 頁面上,並由GetDatabases
API作業傳回。
當您選擇SELECT
授與權限時,您可以選擇套用欄篩選、列篩選或儲存格篩選。
- Console
-
下列步驟說明如何使用具名的資源方法和 Lake Formation 主控台上的 [授與資料湖權限] 頁面來授與資料表權限。該頁面分為以下幾個部分:
-
主參與者 — 要授與權限的使用者、角色、 AWS 帳號、組織或組織單位。
-
LF 標籤或目錄資源 — 要授與權限的資料庫、表格或資源連結。
-
權限-要授予的 Lake Formation 許可權。
注意
若要授與表格資源連結的權限,請參閱授與資源連結權限。
開啟 [授與資料湖權限] 頁面。
在開啟 AWS Lake Formation 主控台 https://console.aws.amazon.com/lakeformation/
,然後以資料湖管理員、表格建立者或已獲授與具有授與選項之資料表權限的使用者身分登入。 執行以下任意一項:
-
在功能窗格中,選擇 [權限] 下的 [資料湖權限]。然後選擇授予。
-
在導覽窗格中,選擇 Tables (資料表)。然後,在 [表格] 頁面上選擇一個表格,然後在 [動作] 功能表的 [權限] 下選擇 [授與]。
注意
您可以透過資源連結授與表格的權限。若要這樣做,請在「表格」頁面上選擇資源連結,然後在「動作」功能表上選擇「授與目標」。如需詳細資訊,請參閱資源連結在 Lake Formation 中如何運作。
-
-
接下來,在「主參與者」區段中,選擇主參與者類型並指定要授與權限的主參與者。
- IAM使用者和角色
-
從使用者和角色清單中選擇一或多個IAM使用者或角色。
- IAM識別中心
-
從 [使用者和群組] 清單中選擇一或多個使用者或群組。
- SAML 使用者和群組
-
對於SAML和 Amazon QuickSight 使用者和群組,請為透過聯合聯合的使用者或群組輸入一或多個 Amazon 資源名稱 (ARNs)SAML,或ARNs針對 Amazon QuickSight 使用者或群組。在每個之後按 Enter 鍵ARN。
如需有關如何建構的資訊ARNs,請參閱Lake Formation 授予和撤銷 AWS CLI 命令。
注意
僅支持 Amazon QuickSight 企業版與 Amazon QuickSight 的 Lake Formation 整合。
- 外部帳戶
-
針對AWS 帳戶 、 AWS 組織或IAM主參與者,輸入一或多個有效的組織 AWS 帳戶 IDsIDsIDs、組織單位或IAM使ARN用者或角色。在每個 ID 之後按 Enter 鍵。
組織 ID 由「o-」後跟 10-32 個小寫字母或數字組成。
組織單位 ID 以「ou-」開頭,後面接著 4—32 個小寫字母或數字 (包含 OU 的根目錄識別碼)。該字符串後跟第二個「-」字符和 8 到 32 個其他小寫字母或數字。
-
在 LF 標籤或目錄資源區段中,選擇資料庫。然後選擇一或多個表格,或選擇「所有表格」。
-
指定沒有資料篩選的權限
在「權限」段落中,選取要授與的表格權限,並選擇性地選取可授與的權限。
如果您授與 [選取],[資料] 權限區段會顯示在 [資料表和資料行權限] 區段下方,預設會選取 [所有資料存取] 選項。接受預設值。
-
選擇 Grant (授予)。
-
使用資料篩選指定「選取」 權限
選取 [選取] 權限。請勿選取任何其他權限。
[資料權限] 區段會顯示在 [資料表和資料行權限] 區段下。
-
執行以下任意一項:
-
僅應用簡單的列過濾。
-
選擇「簡單基於列的訪問」。
-
選擇是否要包含或排除資料欄,然後選擇要包含或排除的資料欄。
授與外部 AWS 帳戶或組織權限時,僅支援包含清單。
-
(選擇性) 在 [可授與的權限] 下,開啟 [選取] 權限的授與選項。
如果您包含授與選項,授與收件者只能授與您授與他們的資料行的權限。
注意
您也可以透過建立指定欄篩選並將所有列指定為資料列篩選的資料篩選來套用欄篩選。但是,這需要更多的步驟。
-
-
套用欄、列或儲存格篩選。
-
選擇進階儲存格層級篩選器。
-
(選擇性) 展開「檢視現有權限」。
-
(選擇性) 選擇 [建立新篩選器]。
-
(選擇性) 若要檢視所列篩選器的詳細資訊,或建立新篩選或刪除現有篩選器,請選擇「管理篩選器」。
[資料篩選] 頁面會在新的瀏覽器視窗中開啟。
完成 [資料篩選] 頁面後,返回 [授與權限] 頁面,如有必要,請重新整理頁面以檢視您建立的任何新資料篩選器。
-
選取要套用至授權的一或多個資料篩選器。
注意
如果清單中沒有資料篩選,則表示沒有為選取的表格建立資料篩選。
-
-
-
選擇 Grant (授予)。
-
- AWS CLI
-
您可以使用指定的資源方法和 AWS Command Line Interface (AWS CLI) 授與資料表權限。
若要使用授與資料表權限 AWS CLI
-
運行
grant-permissions
命令,並指定一個表作為資源。
範例 -授予單個表-沒有過濾
下列範例會授
SELECT
與使ALTER
datalake_user1
用者 AWS 帳戶 1111-2222-3333 資料庫資料表上的使用者。inventory
retail
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
注意
如果您授與在
ALTER
已註冊位置中具有其基礎資料之表格的權限,請務必同時將該位置的資料位置權限授與主參與者。如需詳細資訊,請參閱授與資料位置權限。範例 -使用「授予」選項對所有表進行授予-無過濾
下一個例子授予
SELECT
與在數據庫中的所有表的 grant 選項retail
。aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --permissions-with-grant-option "SELECT" --resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
範例 -授予簡單的列過濾
下一個範例會授與資
SELECT
料表中的資料行子集persons
。它使用簡單的列過濾。aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "TableWithColumns": {"DatabaseName":"hr", "Name":"persons", "ColumnNames":["family_name", "given_name", "gender"]}}'
範例 — 使用數據過濾器授予
此範例會授與
SELECT
資料orders
表並套用資restrict-pharma
料篩選器。aws lakeformation grant-permissions --cli-input-json file://grant-params.json
以下是文件的內容
grant-params.json
。{ "Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"}, "Resource": { "DataCellsFilter": { "TableCatalogId": "111122223333", "DatabaseName": "sales", "TableName": "orders", "Name": "restrict-pharma" } }, "Permissions": ["SELECT"], "PermissionsWithGrantOption": ["SELECT"] }
-