使用 Lake Formation 控制台和命名资源方法授予表权限 - Amazon Lake Formation
打开 “授予权限” 页面指定委托人指定表指定权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Lake Formation 控制台和命名资源方法授予表权限

您可以使用 Lake Formation 控制台和命名资源方法授予 Lake Formation 对数据目录表的权限。您可以授予对单个表的权限,也可以通过单个授予操作授予对数据库中所有表的权限。

如果授予对数据库中所有表的权限,则会隐式授予DESCRIBE数据库的权限。然后,该数据库将显示在数据库页面,并由GetDatabasesAPI 操作。

在选择时SELECT作为要授予的权限,您可以选择应用列筛选器、行筛选器或单元格筛选器。

以下步骤说明了如何使用 named resource 方法和授予权限Lake Formation 控制台上的页面。此页面分为以下几个部分:

  • 委托人— 用户、角色、Amazon要向其授予权限的账户、企业或企业部门。

  • LF 标签或目录资源— 要授予权限的数据库、表或资源链接。

  • Permissions (权限)-Lake Formation 权限授予。

注意

要授予对表资源链接的权限,请参见授予资源链接权限.

打开 “授予权限” 页面

  1. 打开Amazon Lake Formation控制台位于https://console.aws.amazon.com/lakeformation/,然后以数据湖管理员、表创建者或使用授权选项被授予表权限的用户身份登录。

  2. 请执行下列操作之一:

    • 在导航窗格中,选择数据权限. 然后选择 。Grant.

    • 在导航窗格中,选择。然后,在页面上,选择一个表,然后在操作菜单,在Permissions (权限),选择Grant.

    注意

    您可以通过表的资源链接授予对表的权限。为此,请在页面上,选择一个资源链接,然后在操作菜单中,选择在目标上授予权限. 有关更多信息,请参阅 资源链接在 Lake Formation 中的工作原理

指定委托人

委托人部分中,选择承担者类型并指定要向其授予权限的委托人。

“主体” 部分包含以下文本中命名的三个磁贴。每个磁贴都包含一个选项按钮和文本。IAM 用户和角色磁贴处于选中状态,且磁贴下方有一个 IAM 用户和角色下拉列表。
IAM 用户和角色

IAM 用户和角色list.

SAML 用户和组

适用于SAML 和亚马逊 QuickSight 用户和组中,为通过 SAML 联合的用户或组输入一个或多个亚马逊资源名称 (ARN),或为亚马逊输入一个或多个亚马逊资源名称 (ARN) QuickSight 用户或组。在每个 ARN 之后按 Enter 键。

有关如何构建 ARN 的信息,请参阅Lake Formation 补助金和撤销Amazon CLI命令.

注意

Lake Formation 与亚马逊的整合 QuickSight Amazon 支持 QuickSight 仅企业版。

External

适用于Amazon账户或Amazon组织,输入一个或多个有效的Amazon账户 ID、组织 ID 或组织单位 ID。按Enter在每个身份证之后。

组织 ID 由 “o-” 后跟 10-32 个小写字母或数字组成。

组织单位 ID 以 “ou-” 开头,后跟 4-32 个小写字母或数字(包含 OU 的根的 ID)。此字符串后跟第二个 “-” 字符和 8 到 32 个附加的小写字母或数字。

另请参见:

指定表

LF 标签或目录资源部分中,选择一个数据库。然后选择一个或多个表,或者所有桌子.

LF-tags 或 catalog resources 部分包含两个水平排列的图块,其中每个图块都包含一个选项按钮和描述性文本。选项包括由 LF 标记匹配的资源和命名数据目录资源。已选择命名数据目录资源。磁贴下面是两个下拉列表:数据库和表。“数据库” (Database) 下拉列表下方有一个磁贴,其中包含选定的数据库名称。“表” (Table) 下拉列表下方有一个磁贴,其中包含选定的表名。

指定权限

Permissions (权限)部分,执行以下操作之一以选择权限和可授予的权限:

指定表权限(无数据筛选)

  1. 选择要授予的表权限,也可以选择可授予的权限。

    这些区域有:表和列权限部分有两个子部分:表权限和可授予权限。每个子部分都有一个复选框,用于每个可能的Lake Formation 许可:更改、插入、删除、删除、选择、描述和超级。超级权限设置在其他权限的右侧,并具有描述:“此权限允许委托人向左侧授予任何权限,并取代那些可授予的权限。”

    如果你同意Select数据权限部分显示在表和列权限部分,使用所有数据访问选项默认处于选中状态。接受默认值。

    该部分包含三个水平排列的拼贴,每个图块都有一个选项按钮和描述。选项按钮是:所有数据访问(选定)、基于列的简单访问和高级单元格级别筛选器。

  2. 选择 Grant(授权)。

指定Select数据筛选权限

  1. SelectSelect授权。不要选择任何其他权限。

    这些区域有:数据权限部分显示在表和列权限部分。

  2. 请执行下列操作之一:

    • 仅应用简单列过滤。

      1. 选择基于列的简单访问.

        顶部是表和列权限部分。前面的屏幕截图中对此进行了描述。它包含表权限和可授予权限的复选框。底部的 “数据权限” 部分有三个水平排列的磁贴,其中每个磁贴都有一个选项按钮和描述。选项包括 “所有数据访问”、“基于列的简单访问” 和 “高级单元格级筛选器”。选择 “基于列的简单访问” 选项。磁贴下方是一个选项按钮组,标签为 “选择权限筛选器”。选项包括包含列和排除列。选项组下方是 “选择列” 下拉列表,下方是 “可授予权限” 子部分,其中包含一个标记为 “选择” 的复选框。

      2. 选择是包括还是排除列,然后选择要包括或排除的列。

        向外部授予权限时,仅支持包含列表Amazon账户或组织。

      3. (可选)在可授予权限中,打开 “选择” 权限的授予选项。

        如果包含 grant 选项,则授予接收者只能对您授予他们的列授予权限。

      注意

      您也可以仅通过创建指定列筛选器并将所有行指定为行筛选器的数据筛选器来应用列筛选。但是,这需要更多步骤。

    • 应用列、行或单元格筛选。

      1. 选择高级单元格级过滤器.

        此部分标题为 “数据权限”,位于 “表权限” 部分的下方。它有三个水平排列的图块,每个图块都有一个选项按钮和描述。选项包括 “所有数据访问”、“基于列的简单访问” 和 “高级单元格级筛选器”。高级单元格级别筛选器选项处于选中状态。磁贴下方是 “查看现有权限” 标签,左侧有一个曝光三角形。现有权限不会公开。下面是标题为 “要授予的数据筛选器” 的部分。标题右侧有三个按钮:刷新、管理筛选器和创建新筛选器。标题和按钮下方是一个文本字段,其中包含占位符文本 “查找过滤器”。下面是现有过滤器的表格。每行左侧都有一个复选框。列标题为 “筛选器名称”、“表”、“数据库” 和 “表目录 ID”。有两行。第一行中的筛选器名称是 restrict-pharma。第二行中的名字是 no-pharma。

      2. (可选) 展开查看现有权限.

      3. (可选) 选择创建新筛选条件.

      4. (可选)要查看列出的筛选器的详细信息,或者要创建新筛选器或删除现有筛选器,请选择管理筛选条件.

        这些区域有:数据筛选条件页面将在新的浏览器窗口中打开。

        完成后数据筛选条件页面,返回授予权限页面,如有必要,刷新该页面以查看您创建的任何新数据筛选器。

      5. 选择一个或多个要应用于补助金的数据筛选器。

        注意

        如果列表中没有数据筛选器,则表示没有为所选表创建数据筛选器。

  3. 选择 Grant(授权)。

另请参阅