本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Lake Formation 控制台和 LF-TBAC 方法授予数据目录权限
以下步骤说明了如何使用 Lake Formation 基于标签的访问控制 (LF-TBAC) 方法和授予权限Lake Formation 控制台上的页面。此页面分为以下几个部分:
-
委托人— 用户、角色和Amazon Web Services 账户以向授予权限。
-
LF 标签或目录资源— 要授予权限的数据库、表或资源链接。
-
Permissions (权限)-Lake Formation 权限授予。
打开 “授予权限” 页面
-
打开Amazon Lake Formation控制台位于https://console.aws.amazon.com/lakeformation/
,然后以数据湖管理员身份登录,或者通过授予选项通过 LF-TBAC 被授予对数据目录资源的 Lake Formation 权限的用户登录。 -
在导航窗格中,选择数据权限. 然后选择 。Grant.
指定委托人
在委托人部分中,选择承担者类型,然后指定要向其授予权限的委托人。
- IAM 用户和角色
-
从IAM 用户和角色list.
- SAML 用户和组
-
适用于SAML 和亚马逊 QuickSight 用户和组中,为通过 SAML 联合的用户或组输入一个或多个亚马逊资源名称 (ARN),或为亚马逊输入一个或多个亚马逊资源名称 (ARN) QuickSight 用户或组。在每个 ARN 之后按 Enter 键。
有关如何构建 ARN 的信息,请参阅Lake Formation 补助金和撤销Amazon CLI命令.
注意 Lake Formation 与亚马逊的整合 QuickSight Amazon 支持 QuickSight 仅企业版。
- External
-
适用于Amazon Web Services 账户要么Amazon组织,输入一个或多个有效的Amazon Web Services 账户ID、组织 ID 或组织单位 ID。按Enter在每个身份证之后。
组织 ID 由 “o-” 后跟 10 到 32 个小写字母或数字组成。
组织单位 ID 以 “ou-” 开头,后跟 4 到 32 个小写字母或数字(包含 OU 的根的 ID)。此字符串后跟第二个 “-” 短划线和 8 到 32 个额外的小写字母或数字。
另请参阅
指定 LF 标签
-
确保LF 标签匹配的资源已选择。
-
选择添加 LF-tag.
-
选择一个 LF-tag 键和数值。
如果您选择了多个值,则您正在创建一个 LF-tag 表达式
OR运算符。这意味着,如果任何 LF-tag 值与分配给数据目录资源的 LF-tag 相匹配,则会授予您对该资源的权限。
-
(可选) 选择添加 LF-tag再次指定另一个 LF 标签。
如果您指定了多个 LF-tag,则会创建一个 LF-tag 表达式
AND运算符。只有在为 LF-tag 表达式中的每个 LF-tag 分配了匹配的 LF-tag 时,才会向委托人授予对数据目录资源的权限。
指定权限
指定向委托人授予执行匹配数据目录资源的权限。匹配资源是指分配给委托人的 LF-tag 与授予主体的 LF-tag 表达式之一相匹配的资源。
您可以指定要对匹配的数据库、匹配表或两者都授予的权限。
-
UNDER数据库权限中,选择要在匹配的数据库上向承担者授予的数据库权限。
-
UNDER表权限中,选择要授予承担者对匹配表的表权限。
-
选择 Grant(授权)。