授予数据位置权限(外部账户) - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予数据位置权限(外部账户)

请按照以下步骤将数据位置权限授予外部Amazon账户或组织。

你可以使用 Lake Formation 控制台、API 或Amazon Command Line Interface(Amazon CLI)。

开始前的准备工作

确保满足所有跨账户访问先决条件。有关更多信息,请参阅 跨账户访问权限前提条件

授予数据位置权限(外部账户、控制台)

  1. 打开Amazon Lake Formation控制台位于https://console.aws.amazon.com/lakeformation/. 以数据湖管理员身份登录。

  2. 在导航窗格中,选择数据位置中,然后选择Grant.

  3. 授予权限对话框中,选择外部账户Tile。

  4. 提供以下信息:

    • 适用于Amazon账户 ID 或Amazon组织 ID,请输入有效的Amazon账号、组织 ID 或组织单位 ID。

      Enter在每个身份证之后。

      组织 ID 由 “o-” 后跟 10 到 32 个小写字母或数字组成。

      组织单位 ID 由 “ou-” 组成,后跟 4 到 32 个小写字母或数字(包含 OU 的根的 ID)。此字符串后跟第二个 “-”(连字符)和 8 到 32 个额外的小写字母或数字。

    • UNDER存储位置,选择浏览,然后选择Amazon S3 的存储位置。该地点必须向 Lake Formation 登记。

    “授予权限” 对话框中选中了 “外部帐户” 单选按钮,Amazon指定了帐户,并指定了存储位置。

  5. Select可授予.

  6. 选择 Grant(授权)。

要授予数据位置权限(外部账户、Amazon CLI)

  • 向外部授予权限Amazonaccount,请输入与以下内容类似的命令。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333  --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"123456789012","ResourceArn":"s3:arn:aws:s3::retail/transactions/2020q1"}}'

    此命令授予DATA_LOCATION_ACCESS可以选择授予 Amazon S3 位置上的账户 1111-2222-3333s3://retail/transactions/2020q1,此账户由账户 1234-5678-9012 拥有。

    要授予组织权限,请输入与以下内容类似的命令。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{"DataLocation": {"CatalogId":"123456789012","ResourceArn":"s3:arn:aws:s3::retail/transactions/2020q1"}}'

    此命令授予DATA_LOCATION_ACCESS为组织提供授予选择权o-abcdefghijkl在Amazon S3 位置s3://retail/transactions/2020q1,此账户由账户 1234-5678-9012 拥有。

另请参见: