本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Lake Formation 權限參考
若要執行 AWS Lake Formation 作業,主體需要 Lake Formation 許可和 AWS Identity and Access Management (IAM) 許可。您通常會使用粗略的存取控制政策來授予 IAM 許可,如中所述。Lake Formation 許可權概述 您可以使用主控台、API 或 AWS Command Line Interface (AWS CLI) 授予 Lake Formation 權限。
要了解如何授予或撤銷 Lake Formation 權限,請參閱授與和撤銷資料目錄資源的權限和授與資料位置權限。
注意
本節中的範例顯示如何將權限授與相同 AWS 帳戶中的主參與者。如需跨帳戶補助的範例,請參閱Lake Formation 的跨賬戶數據共享。
每種資源類型的 Lake Formation 型權限
以下是可用於每種資源類型的有效 Lake Formation 權限:
| 資源 | 權限 |
|---|---|
Database |
ALL (Super) |
ALTER |
|
CREATE_TABLE |
|
DESCRIBE |
|
DROP |
|
Table |
ALL (Super) |
ALTER |
|
DELETE |
|
DESCRIBE |
|
DROP
|
|
INSERT
|
|
SELECT |
|
View |
ALL (Super) |
SELECT |
|
DESCRIBE |
|
DROP |
|
Data Catalog |
CREATE_DATABASE |
Amazon S3 location |
DATA_LOCATION_ACCESS |
LF-Tags |
DROP |
ALTER |
|
LF-Tag values |
ASSOCIATE |
DESCRIBE |
|
GrantWithLFTagExpression |
|
LF-Tag policy - Database |
ALL (Super) |
ALTER |
|
CREATE_TABLE |
|
DESCRIBE |
|
DROP |
|
LF-Tag policy - Table |
ALL (Super) |
ALTER |
|
DESCRIBE |
|
DELETE |
|
DROP |
|
INSERT |
|
SELECT |
|
Resource link - Database or Table |
DESCRIBE |
DROP
|
|
Table with data filters |
DESCRIBE |
DROP |
|
SELECT |
|
Table with column filter |
SELECT |
Lake Formation 授予和撤銷 AWS CLI 命令
本節中的每個權限描述都包含使用 AWS CLI 命令授與權限的範例。以下是湖的形成grant-permissions和revoke-permissions AWS CLI 命令的概要。
grant-permissions [--catalog-id <value>] --principal <value> --resource <value> --permissions <value> [--permissions-with-grant-option <value>] [--cli-input-json <value>] [--generate-cli-skeleton <value>]
revoke-permissions [--catalog-id <value>] --principal <value> --resource <value> --permissions <value> [--permissions-with-grant-option <value>] [--cli-input-json <value>] [--generate-cli-skeleton <value>]
如需這些命令的詳細說明,請參閱命令參考中的授與權限和撤銷權限。AWS CLI 本節提供有關此--principal選項的其他資訊。
--principal選項的值為下列其中一項:
-
(IAM) 使用者或角色的 Amazon 資源名稱 AWS Identity and Access Management (ARN)
-
ARN 適用於透過 SAML 提供者進行驗證的使用者或群組,例如 Microsoft 作用中目錄同盟服務 (AD FS)
-
適用於 Amazon QuickSight 用戶或組的 ARN
-
針對跨帳戶權限、 AWS 帳戶 ID、組織 ID 或組織單位 ID
以下是所有--principal類型的語法和範例。
- 主體是 IAM 使用者
-
語法:
--principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/<user-name>範例:
--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 - 主體是 IAM 角色
-
語法:
--principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:role/<role-name>範例:
--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:role/workflowrole - 主體是透過 SAML 提供者驗證的使用者
-
語法:
--principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:saml-provider/<SAMLproviderName>:user/<user-name>範例:
--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:saml-provider/idp1:user/datalake_user1--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:saml-provider/AthenaLakeFormationOkta:user/athena-user@example.com - 主體是透過 SAML 提供者驗證的群組
-
語法:
--principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:saml-provider/<SAMLproviderName>:group/<group-name>範例:
--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:saml-provider/idp1:group/data-scientists--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:saml-provider/AthenaLakeFormationOkta:group/my-group - 校長是 Amazon QuickSight 企業版用戶
-
語法:
--principal DataLakePrincipalIdentifier=arn:aws:quicksight:<region>:<account-id>:user/<namespace>/<user-name>注意
對於
<namespace>,您必須指定default。範例:
--principal DataLakePrincipalIdentifier=arn:aws:quicksight:us-east-1:111122223333:user/default/bi_user1 - 校長是 Amazon QuickSight 企業版集團
-
語法:
--principal DataLakePrincipalIdentifier=arn:aws:quicksight:<region>:<account-id>:group/<namespace>/<group-name>注意
對於
<namespace>,您必須指定default。範例:
--principal DataLakePrincipalIdentifier=arn:aws:quicksight:us-east-1:111122223333:group/default/data_scientists - 本金是一個 AWS 帳戶
-
語法:
--principal DataLakePrincipalIdentifier=<account-id>範例:
--principal DataLakePrincipalIdentifier=111122223333 - 主參與者是一個組織
-
語法:
--principal DataLakePrincipalIdentifier=arn:aws:organizations::<account-id>:organization/<organization-id>範例:
--principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl - 校長是一個組織單位
-
語法:
--principal DataLakePrincipalIdentifier=arn:aws:organizations::<account-id>:ou/<organization-id>/<organizational-unit-id>範例:
--principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:ou/o-abcdefghijkl/ou-ab00-cdefghij - 主體是 IAM 身分中心身分識別使用者或群組
-
範例:使用者
--principal DataLakePrincipalIdentifier=arn:aws:identitystore:::user/<UserID>範例:群組:
--principal DataLakePrincipalIdentifier=arn:aws:identitystore:::group/<GroupID> - 主體是 IAM 群組-
IAMAllowedPrincipals -
Lake Formation 會將資料目錄中所有資料庫和資料表的
Super權限設定為預設呼叫IAMAllowedPrincipals的群組。如果此群組權限存在於 AWS Glue資料庫或資料表上,您帳戶中的所有主體都可以透過的 IAM 主體政策存取資源。當您開始使用 Lake Formation 許可以保護先前受 IAM 政策保護的資料目錄資源時,它會提供回溯相容性 AWS Glue。當您使用 Lake Formation 管理「資料目錄」資源的權限時,您需要先撤銷資源的
IAMAllowedPrincipals權限,或選擇主參與者和資源使用混合式存取模式,Lake Formation 權限才能運作。範例:
--principal DataLakePrincipalIdentifier=IAM_Allowed_Principals - 主體是 IAM 群組-
ALLIAMPrincipals -
當您授與資料目錄資源上的
ALLIAMPrincipals群組權限時,帳戶中的每個主體都可以使用 Lake Formation 許可和 IAM 權限存取資料目錄資源。範例:
--principal DataLakePrincipalIdentifier=123456789012:IAMPrincipals
Lake Formation 權限
本節包含您可以授與主參與者的可用「Lake Formation」權限。
ALTER
| 權限 | 授與此資源 | 受贈人也需要 |
|---|---|---|
ALTER |
DATABASE |
glue:UpdateDatabase
|
ALTER |
TABLE |
glue:UpdateTable |
ALTER |
LF-Tag |
lakeformation:UpdateLFTag |
具有此權限的主體可以變更「資料目錄」中資料庫或表格的中繼資料。對於表格,您可以變更資料欄結構定義並新增資料欄參數。您無法變更中繼資料表所指向之基礎資料中的資料行。
如果要變更的屬性是已註冊的 Amazon Simple Storage Service (Amazon S3) 位置,則主體必須具有新位置的資料位置許可。
下列範例會將ALTER權限授與 AWS 帳戶 1111-2222-3333 retail 中資料庫datalake_user1上的使用者。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ALTER" --resource '{ "Database": {"Name":"retail"}}'
下列範例會授與ALTER資料庫中資料表datalake_user1上inventory的使用者retail。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ALTER" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
CREATE_DATABASE
| 權限 | 授與此資源 | 受贈人也需要 |
|---|---|---|
CREATE_DATABASE |
Data Catalog | glue:CreateDatabase |
具有此權限的主參與者可以在「資料目錄」中建立中繼資料資料庫或資源連結。主參與者也可以在資料庫中建立資料表。
下列範例會授與CREATE_DATABASE AWS 帳號 1111-2222-datalake_user1 3333 中的使用者。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}'
當主體在「資料目錄」中建立資料庫時,不會授與任何基礎資料的權限。已授與下列其他中繼資料權限 (以及將這些權限授與其他使用者的能力):
-
CREATE_TABLE在資料庫中 -
ALTER資料庫 -
DROP資料庫
建立資料庫時,主體可以選擇性地指定 Amazon S3 位置。視主體是否具有資料位置權限而定,在所有情況下,CREATE_DATABASE權限可能不足以建立資料庫。牢記以下三種情況很重要。
| 建立資料庫使用案例 | 需要的許可 |
|---|---|
| 位置屬性未指定。 | CREATE_DATABASE就足夠了。 |
| 指定了位置屬性,並且該位置不由 Lake Formation 管理(未註冊)。 | CREATE_DATABASE就足夠了。 |
| 位置屬性被指定,並且該位置由 Lake Formation(已註冊)管理。 | CREATE_DATABASE需要加上指定位置的資料位置權限。 |
CREATE_TABLE
| 權限 | 授與此資源 | 受贈人也需要 |
|---|---|---|
CREATE_TABLE |
DATABASE |
glue:CreateTable
|
具有此權限的主參與者可以在指定資料庫內的「資料目錄」中建立中繼資料表格或資源連結。
下列範例會授與使用datalake_user1者在 AWS 帳戶 1111-2222-3333 中建立資retail料庫中資料表的權限。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
當主參與者在「資料目錄」中建立資料表時,該資料表上的所有 Lake Formation 權限都會授與主參與者,並能夠將這些權限授與其他人。
跨帳戶補助
如果資料庫擁有者帳戶授CREATE_TABLE與收件者帳戶,且收件者帳戶中的使用者在擁有者帳戶的資料庫中成功建立資料表,則適用下列規則:
-
收件者帳戶中的使用者和資料湖管理員對資料表具有所有 Lake Formation 權限。他們可以將表格的權限授與其帳戶中的其他主參與者。他們無法將權限授與擁有者帳戶或任何其他帳戶中的主體。
-
擁有者帳戶中的資料湖管理員可以將表格的權限授與其帳戶中的其他主體。
資料位置權限
當您嘗試建立指向 Amazon S3 位置的表格時,視您是否具有資料位置CREATE_TABLE許可而定,權限可能不足以建立表格。牢記以下三種情況很重要。
| 建立資料表使用案例 | 需要的許可 |
|---|---|
| 指定的地點不由 Lake Formation 管理(未註冊)。 | CREATE_TABLE就足夠了。 |
| 指定的位置由 Lake Formation 管理 (已註冊),且包含的資料庫沒有位置屬性,或具有不是表格位置 Amazon S3 前綴的位置屬性。 | CREATE_TABLE需要加上指定位置的資料位置權限。 |
| 指定的位置由 Lake Formation 管理 (已註冊),且包含的資料庫具有指向已註冊位置的位置屬性,並且是表格位置的 Amazon S3 前置詞。 | CREATE_TABLE就足夠了。 |
DATA_LOCATION_ACCESS
| 權限 | 授與此資源 | 受贈人也需要 |
|---|---|---|
DATA_LOCATION_ACCESS |
Amazon S3 位置 | (該位置上的 Amazon S3 許可,必須由用於註冊位置的角色指定。) |
這是唯一的資料位置權限。具有此權限的主體可以建立指向指定 Amazon S3 位置的中繼資料庫或表格。必須註冊地點。對某個位置具有資料位置權限的主參與者也具有子位置的位置權限。
下列範例會s3://products/retail將資料位置權限授與 AWS
帳戶 1111-2222-3333 datalake_user1 中的使用者。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::products/retail"}}'
DATA_LOCATION_ACCESS不需要查詢或更新基礎資料。此權限僅適用於建立資料目錄資源。
如需資料位置權限的詳細資訊,請參閱Underlying data access control。
DELETE
| 權限 | 授與此資源 | 受贈人也需要 |
|---|---|---|
DELETE |
TABLE |
如果位置已註冊,則不需要額外的 IAM 許可。) |
具有此權限的主體可以刪除表格指定之 Amazon S3 位置的基礎資料。主體也可以在 Lake Formation 主控台上檢視表格,並使用 AWS Glue API 擷取資料表的相關資訊。
下列範例會將DELETE權限授與 AWS 帳戶 1111-2222-3333 資料庫inventoryretail中資料表datalake_user1上的使用者。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DELETE" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
此權限僅適用於 Amazon S3 中的資料,而不適用於其他資料存放區中的資料,例如 Amazon Relational Database Service (Amazon RDS)。
DESCRIBE
| 權限 | 授與此資源 | 受贈人也需要 |
|---|---|---|
DESCRIBE |
表格資源連結 資料庫資源連結 |
|
DESCRIBE |
DATABASE |
glue:GetDatabase |
DESCRIBE |
TABLE |
glue:GetTable |
DESCRIBE |
LF-Tag |
|
具有此權限的主參與者可以檢視指定的資料庫、表格或資源連結。不會以隱含方式授與其他資料目錄權限,也不會以隱含方式授與資料存取權限。資料庫和資料表會顯示在整合式服務的查詢編輯器中,但除非授與其他 Lake Formation 權限 (例如SELECT),否則無法對其進行任何查詢。
例如,擁有資料庫DESCRIBE的使用者可以看到資料庫和所有資料庫中繼資料 (描述、位置等)。但是,用戶無法找出數據庫包含哪些表,也無法刪除,更改或創建數據庫中的表。同樣地,擁有資料表DESCRIBE的使用者可以看到資料表和資料表中繼資料 (說明、結構描述、位置等),但無法捨棄、變更或執行對資料表的查詢。
以下是一些額外的規則DESCRIBE:
-
如果使用者對資料庫、資料表或資源連結具有其他 Lake Formation 權限,
DESCRIBE則會隱含授與。 -
如果用戶只有
SELECT一個表(部分SELECT)列的子集,則用戶只能看到這些列。 -
您無法授
DESCRIBE予在表格上選取部分功能的使用者。相反地,您無法為授與的表格指定欄包含清單或排除清單。DESCRIBE
下列範例會將DESCRIBE權限授與 AWS 帳號 1111-2222-3333 之資料庫inventory-link中資料表資源連結datalake_user1上retail的使用者。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory-link"}}'
DROP
| 權限 | 授與此資源 | 受贈人也需要 |
|---|---|---|
DROP |
DATABASE |
glue:DeleteDatabase |
DROP |
TABLE |
glue:DeleteTable
|
DROP |
LF-Tag |
lakeformation:DeleteLFTag
|
DROP |
資料庫資源連結 表格資源連結 |
|
具有此權限的主參與者可以卸除「資料目錄」中的資料庫、表格或資源連結。您無法將資料庫上的 DROP 授與外部帳戶或組織。
警告
刪除數據庫丟棄數據庫中的所有表。
下列範例會將DROP權限授與 AWS 帳戶 1111-2222-3333 retail 中資料庫datalake_user1上的使用者。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DROP" --resource '{ "Database": {"Name":"retail"}}'
下列範例會授與DROP資料庫中資料表datalake_user1上inventory的使用者retail。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DROP" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
下列範例會授與DROP資料庫中資源連結datalake_user1上inventory-link的使用者retail。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DROP" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory-link"}}'
INSERT
| 權限 | 授與此資源 | 受贈人也需要 |
|---|---|---|
INSERT |
TABLE |
如果位置已註冊,則不需要額外的 IAM 許可。) |
具有此權限的主體可以在表格指定的 Amazon S3 位置插入、更新和讀取基礎資料。主體也可以在 Lake Formation 主控台中檢視表格,並使用 AWS Glue API 擷取資料表的相關資訊。
下列範例會將INSERT權限授與 AWS 帳戶 1111-2222-3333 資料庫inventoryretail中資料表datalake_user1上的使用者。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "INSERT" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
此權限僅適用於 Amazon S3 中的資料,而不適用於其他資料存放區 (例如 Amazon RDS) 中的資料。
SELECT
| 權限 | 授與此資源 | 受贈人也需要 |
|---|---|---|
SELECT |
|
如果位置已註冊,則不需要額外的 IAM 許可。) |
具有此權限的主體可以檢視資料目錄中的資料表,並且可以在資料表指定的位置查詢 Amazon S3 中的基礎資料。主體可以在 Lake Formation 主控台中檢視表格,並使用 AWS Glue API 擷取表格的相關資訊。如果在授與此權限時套用資料行篩選,主體只能檢視內含資料行的中繼資料,而且只能從內含的資料行查詢資料。
注意
整合式分析服務有責任在處理查詢時套用欄篩選。
下列範例會將SELECT權限授與 AWS 帳戶 1111-2222-3333 資料庫inventoryretail中資料表datalake_user1上的使用者。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
此權限僅適用於 Amazon S3 中的資料,而不適用於其他資料存放區 (例如 Amazon RDS) 中的資料。
您可以使用選擇性包含清單或排除清單來篩選 (限制存取) 特定欄。包含列表指定可以訪問的列。排除清單會指定無法存取的資料欄。如果沒有包含或排除清單,則可存取所有表格欄。
結果只會glue:GetTable傳回呼叫者有權檢視的資料行。亞馬遜雅典娜和亞馬 Amazon Redshift 等集成服務榮譽列包含和排除列表。
下列範例會使SELECT用包含清單授與資料表datalake_user1上的inventory使用者。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "TableWithColumns": {"DatabaseName":"retail", "Name":"inventory", "ColumnNames": ["prodcode","location","period","withdrawals"]}}'
下一個範例會使用排除清單授與資SELECTinventory料表。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "TableWithColumns": {"DatabaseName":"retail", "Name":"inventory", "ColumnWildcard": {"ExcludedColumnNames": ["intkey", "prodcode"]}}}'
下列限制適用於SELECT權限:
-
授與時
SELECT,如果套用欄篩選,則無法包含授與選項。 -
您無法限制屬於分割區索引鍵之資料行的存取控制。
-
具有資料表中資料行子集
SELECT權限的主參與者無法授與該資料表的ALTERDROPDELETE、、或INSERT權限。同樣地,對資料表具有ALTERDROPDELETE、或INSERT權限的主參與者,也無法授與資料行篩選的SELECT權限。
權限一律會以個別列的形式顯示在 Lake Formation 主控台的 SELECT [資料] 權限頁面上。下列影像顯示SELECT授datalake_user2與使用者和datalake_user3inventory表格中所有資料欄的資料行。
![[資料權限] 頁面會針對使用者 datalake_user1 和資料表詳細目錄顯示兩個資料列。第一列列出具有資源類型的「刪除」和「插入」權限「表格」,第二列列出「選取」權限 (資源類型為「欄」),資源顯示為 retail.inventory.*。](images/data-permissions-dialog-select-cross.png)
Super
| 權限 | 對此資源授與 | 受贈人也需要 |
|---|---|---|
Super |
DATABASE |
glue:*Database*
|
Super |
TABLE |
glue:*Table*, glue:*Partition* |
此權限可讓主體在資料庫或資料表上執行所有支援的 Lake Formation 作業。您無法將資料庫授與Super外部帳戶。
此權限可與其他 Lake Formation 權限共存。例如,您可以授與SuperSELECT、和中繼資料表的INSERT權限。主參與者接著就可以在表格上執行所有支援的作業。撤銷時Super,SELECT和INSERT權限會保留,主參與者只能執行選取和插入作業。
您可以Super將其授與群組,而不是授與個別主參與者IAMAllowedPrincipals。系統會自動建立IAMAllowedPrincipals群組,其中包含 IAM 政策允許存取資料目錄資源的所有 IAM 使用者和角色。當Super授與資料目錄資源時,IAMAllowedPrincipals對資源的存取權限僅由 IAM 政策進行有效控制。
您可以利用 Lake Formation 主控台IAMAllowedPrincipals的 「設定」 頁面上的選項,來擁有自動授與新目錄資源的Super權限。
![[資料目錄設定] 對話方塊的副標題為「新建立的資料庫和資料表的預設權限」,並有兩個核取方塊,這些核取方塊會在文字中加以說明。](images/settings-page.png)
-
若
Super要IAMAllowedPrincipals授予所有新資料庫,請選取僅對新資料庫使用 IAM 存取控制。 -
若
Super要授予新IAMAllowedPrincipals資料庫中所有新資料表的權限,請針對新資料庫中的新資料表選取僅使用 IAM 存取控制。注意
此選項會預設選取 [建立資料庫] 對話方塊中的 [僅對此資料庫中的新資料表使用 IAM 存取控制] 核取方塊。它沒有什麼比這更多。它是 [建立資料庫] 對話方塊中的核取方塊,可啟用授與
Super給IAMAllowedPrincipals。
這些 「設定」 頁面選項預設為啟用狀態。如需詳細資訊,請參閱下列內容:
ASSOCIATE
| 權限 | 授與此資源 | 受贈人也需要 |
|---|---|---|
ASSOCIATE |
LF-Tag |
|
對 LF 標籤具有此權限的主參與者可以將 LF 標籤指派給資料目錄資源。授予ASSOCIATE隱含授予。DESCRIBE
這個例子授予用戶datalake_user1對 LF 標籤的ASSOCIATE權限與密鑰。module它授予檢視和指派該機碼所有值的權限,如星號 (*) 所示。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
