本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
授與與您帳戶共用的資料庫或資料表的權限
將屬於其他 AWS 帳號的資料目錄資源與您的 AWS 帳戶共用後,身為資料湖管理員,您可以將共用資源的權限授與帳戶中的其他主體。但是,您無法將資源的權限授與其他 AWS 帳號或組織。
您可以使用 AWS Lake Formation 控制台、API 或 AWS Command Line Interface (AWS CLI) 授予權限。
授與共用資料庫的權限 (具名資源方法、主控台)
-
請遵循中的說明進行使用指定的資源方法授與資料庫權限 在 LF 標籤或目錄資源下的「資料庫」清單中,請確定您在外部帳戶中選取資料庫,而不是資料庫的資源連結。
如果您在資料庫清單中沒有看到資料庫,請確定您已接受資料庫的 AWS Resource Access Manager (AWS RAM) 資源共用邀請。如需詳細資訊,請參閱 接受來自的資源共用邀請 AWS RAM。
此外,對於
CREATE_TABLE
和ALTER
權限,請按照中的說明進行操作授予資料位置權限 (相同帳戶),並確保在 [註冊帳戶位置] 欄位中輸入擁有帳戶 ID。
授與共用資料表的權限 (具名資源方法、主控台)
-
請遵循中的說明進行使用指定的資源方法授與資料表權限 在 LF 標籤或目錄資源下的「資料庫」清單中,請確定您在外部帳戶中選取資料庫,而不是資料庫的資源連結。
如果您在表格清單中看不到該表格,請確定您已接受表格的 AWS RAM 資源共用邀請。如需詳細資訊,請參閱 接受來自的資源共用邀請 AWS RAM。
此外,若要取
ALTER
得權限,請遵循中的指示授予資料位置權限 (相同帳戶),並務必在 [註冊帳戶位置] 欄位中輸入擁有帳戶 ID。
若要授與共用資源的權限 (LF-TBAC 方法、主控台)
-
請遵循中的說明進行授與資料目錄權限 在 LF 標籤或目錄資源區段中,授與外部帳戶授與您帳戶的確切 LF 標籤運算式,或該運算式的子集。
例如,如果外部帳戶以資料湖管理員身分
module=customers AND environment=production
將 LF 標籤運算式授與您的帳戶,您可以environment=production
將該運算式授與module=customers
或授與帳戶中的主體。您只能授與透過 LF-tag 運算式在資源上授予的相同或一部分 Lake Formation 權限 (例如ALTER
、等)。SELECT
若要授與共用資料表的權限 (已命名的資源方法, AWS CLI)
-
輸入與以下相似的命令。在此範例中:
-
你的 AWS 帳戶編號是
-
擁有該表格且授與您帳戶的帳戶的帳戶是 1234-5678-9012。
-
共用資料表上的
SELECT
權限正在授予pageviews
使用者datalake_user1
。該使用者是您帳戶中的主體。 -
資料
pageviews
表位於資料庫中,該analytics
資料庫是由帳戶 1234-5678-9012 所擁有。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "Table": {"CatalogId":"123456789012", "DatabaseName":"analytics", "Name":"pageviews"}}'
請注意,必須在
resource
引數的CatalogId
屬性中指定擁有帳戶。 -