授與與您帳戶共用的資料庫或資料表的權限

將屬於其他 AWS 帳號的資料目錄資源與您的 AWS 帳戶共用後，身為資料湖管理員，您可以將共用資源的權限授與帳戶中的其他主體。但是，您無法將資源的權限授與其他 AWS 帳號或組織。

您可以使用 AWS Lake Formation 控制台、API 或 AWS Command Line Interface (AWS CLI) 授予權限。

授與共用資料庫的權限 (具名資源方法、主控台)

• 請遵循中的說明進行使用指定的資源方法授與資料庫權限 在 LF 標籤或目錄資源下的「資料庫」清單中，請確定您在外部帳戶中選取資料庫，而不是資料庫的資源連結。

  如果您在資料庫清單中沒有看到資料庫，請確定您已接受資料庫的 AWS Resource Access Manager (AWS RAM) 資源共用邀請。如需詳細資訊，請參閱 接受來自的資源共用邀請 AWS RAM。

  此外，對於CREATE_TABLE和ALTER權限，請按照中的說明進行操作授予資料位置權限 (相同帳戶)，並確保在 [註冊帳戶位置] 欄位中輸入擁有帳戶 ID。

授與共用資料表的權限 (具名資源方法、主控台)

• 請遵循中的說明進行使用指定的資源方法授與資料表權限 在 LF 標籤或目錄資源下的「資料庫」清單中，請確定您在外部帳戶中選取資料庫，而不是資料庫的資源連結。

  如果您在表格清單中看不到該表格，請確定您已接受表格的 AWS RAM 資源共用邀請。如需詳細資訊，請參閱 接受來自的資源共用邀請 AWS RAM。

  此外，若要取ALTER得權限，請遵循中的指示授予資料位置權限 (相同帳戶)，並務必在 [註冊帳戶位置] 欄位中輸入擁有帳戶 ID。

若要授與共用資源的權限 (LF-TBAC 方法、主控台)

• 請遵循中的說明進行授與資料目錄權限 在 LF 標籤或目錄資源區段中，授與外部帳戶授與您帳戶的確切 LF 標籤運算式，或該運算式的子集。

  例如，如果外部帳戶以資料湖管理員身分module=customers AND environment=production將 LF 標籤運算式授與您的帳戶，您可以environment=production將該運算式授與module=customers或授與帳戶中的主體。您只能授與透過 LF-tag 運算式在資源上授予的相同或一部分 Lake Formation 權限 (例如ALTER、等)。SELECT

若要授與共用資料表的權限 (已命名的資源方法， AWS CLI)

• 輸入與以下相似的命令。在此範例中：

  • 你的 AWS 帳戶編號是

  • 擁有該表格且授與您帳戶的帳戶的帳戶是 1234-5678-9012。

  • 共用資料表上的SELECT權限正在授予pageviews使用者datalake_user1。該使用者是您帳戶中的主體。

  • 資料pageviews表位於資料庫中，該analytics資料庫是由帳戶 1234-5678-9012 所擁有。

  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "Table": {"CatalogId":"123456789012", "DatabaseName":"analytics", "Name":"pageviews"}}'

  請注意，必須在resource引數的CatalogId屬性中指定擁有帳戶。