使用授予数据目录权限Amazon CLI和 LF-TBAC 方法 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用授予数据目录权限Amazon CLI和 LF-TBAC 方法

您可以使用Amazon Command Line Interface(Amazon CLI)和 Lake Formation 基于标签的访问控制 (LF-TBAC) 方法,用于授予 Lake Formation 对数据目录数据库、表和列的权限。

使用 LF-TBAC 授予数据目录权限 (Amazon CLI)

  • 使用 grant-permissions 命令。

    以下示例授予 LF-tag 表达式”module=*“(LF-tag 键的所有值module) 发送给用户datalake_user1. 该用户将拥有CREATE_TABLE对所有匹配数据库的权限-已为其分配了 LF-tag 和密钥的数据库module,带有任何值。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["*"]}]}}'

    下一个示例授予 LF-tag 表达式”(level=director) AND (region=west OR region=south)“给用户datalake_user1. 该用户将拥有SELECTALTER, 和DROP对匹配表(已同时分配了两个表的表)使用授予选项的权限level=director和 (region=west要么region=south)。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" "DROP" --permissions-with-grant-option "SELECT" "ALTER" "DROP" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"TABLE","Expression": [{"TagKey": "level","TagValues": ["director"]},{"TagKey": "region","TagValues": ["west", "south"]}]}}'

    下一个示例授予 LF-tag 表达式”module=orders“到Amazon账户 1234-5678-9012。然后,该账户中的数据湖管理员可以授予”module=orders“在他们的账户中向委托人表达。然后那些校长会有CREATE_TABLE对账户 1111-2222-3333 拥有、使用命名资源方法或 LF-TBAC 方法与账户 1234-5678-9012 共享的匹配数据库的权限。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["orders"]}]}}'