本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
授予与您的账户共享的数据位置的权限
与共享数据目录资源后Amazon账户,作为数据湖管理员,您可以向账户中的其他委托人授予对资源的权限。如果ALTER对共享表授予权限,并且该表指向已注册的 Amazon S3 位置,您还必须授予该位置的数据位置权限。同样,如果CREATE_TABLE要么ALTER在共享数据库上授予权限,并且该数据库具有指向已注册位置的 location 属性,您还必须授予该位置的数据位置权限。
要向账户中的委托人授予共享位置的数据位置权限,您的账户必须已获得DATA_LOCATION_ACCESS具有授予选项的位置的权限。当你授予DATA_LOCATION_ACCESS您账户中的其他委托人,则必须包含数据目录 ID (Amazon账户 ID)的所有者账户。所有者账户是注册该地点的账户。
您可以使用Amazon Lake Formation控制台、API 或Amazon Command Line Interface(Amazon CLI以授予数据位置权限。
授予与您的账户共享的数据位置的权限(控制台)
-
按 授予数据位置权限(同一账户) 中的步骤操作。
适用于存储位置,则必须键入位置。适用于注册账户所在地中,输入Amazon拥有者账户户 ID。
要授予与您的账户共享的数据位置的权限(Amazon CLI)
-
输入以下命令之一以授予用户或角色权限。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/<user-name>--permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>","ResourceArn":"arn:aws:s3:::<s3-location>"}}' aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:role/<role-name>--permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>","ResourceArn":"arn:aws:s3:::<s3-location>"}}'