本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
访问共享表的基础数据
假定选择Amazon账户 A 与账户 B 共享数据目录表-例如,通过授予SELECT将表上的授予选项授予账户 B。要使账户 B 中的委托人能够读取共享表的基础数据,必须满足以下条件:
-
账户 B 中的数据湖管理员必须接受该共享。(如果账户 A 和 B 位于同一个组织中,或者如果授予是使用基于 Lake Formation 标签的访问控制方法进行的,则不需要这样做。)
-
数据湖管理员必须将Lake Formation 重新授予委托人
SELECT账户 A 在共享表上授予的权限。 -
委托人必须对表、包含它的数据库和账户 A Data Catalog 具有以下 IAM 权限。
注意 在以下 IAM 策略中:
-
Replace
<account-id-A>用Amazon账户 A 的账户 ID -
Replace
<region>具有有效的区域。 -
Replace
<database>使用账户 A 中包含共享表的数据库的名称。 -
Replace
<table>与 Policy 共享表的名称为共享表名。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition", "glue:GetDatabase", "glue:GetDatabases" ], "Resource": [ "arn:aws:glue:<region>:<account-id-A>:table/<database>/<table>", "arn:aws:glue:<region>:<account-id-A>:database/<database>", "arn:aws:glue:<region>:<account-id-A>:catalog" ] }, { "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess" ], "Resource": [ "arn:aws:lakeformation:<region>:<account-id-A>:catalog:<account-id-A>" ], "Condition": { "StringEquals": { "lakeformation:GlueARN":"arn:aws:glue:<region>:<account-id-A>:table/<database>/<table>" } } } ] } -