本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
授予对与您的账户共享的数据库或表的权限
在属于另一个数据目录资源之后Amazon账户已与你共享Amazon账户,作为数据湖管理员,您可以将共享资源的权限授予账户中的其他委托人。但是,您不能将资源的权限授予其他人Amazon账户或组织。
您可以使用Amazon Lake Formation控制台、API 或Amazon Command Line Interface(Amazon CLI) 以授予权限。
授予对共享数据库的权限(命名资源方法,控制台)
-
按照中的说明进行操作使用 Lake Formation 控制台和命名资源方法授予数据库权限 在数据库在下面列出LF 标签或目录资源,请确保在外部帐户中选择数据库,而不是数据库的资源链接。
如果您在数据库列表中没有看到该数据库,请确保您已接受Amazon Resource Access Manager(Amazon RAM) 数据库的资源共享邀请。有关更多信息,请参阅 接受来自的资源共享邀请Amazon RAM。
另外,对于
CREATE_TABLE和ALTER权限,请遵循中的说明授予数据位置权限(同一账户),请务必在注册账户所在地字段中返回的子位置类型。
授予对共享表的权限(命名资源方法,控制台)
-
按照中的说明进行操作使用 Lake Formation 控制台和命名资源方法授予表权限 在数据库在下面列出LF 标签或目录资源,请确保在外部帐户中选择数据库,而不是数据库的资源链接。
如果您在表列表中没有看到该表,请确保您已接受Amazon RAM表的资源共享邀请。有关更多信息,请参阅 接受来自的资源共享邀请Amazon RAM。
另外,对于
ALTER权限,请按照中的说明操作授予数据位置权限(同一账户),请务必在注册账户所在地字段中返回的子位置类型。
授予对共享资源的权限(LF-TBAC 方法,控制台)
-
按照中的说明进行操作使用 Lake Formation 控制台和 LF-TBAC 方法授予数据目录权限 在LF 标签或目录资源部分中,授予外部账户授予您的账户的精确 LF-tag 表达式或该表达式的子集。
例如,如果外部账户授予了 LF-tag 表达式
module=customers AND environment=production使用授权选项添加到您的账户,作为数据湖管理员,您可以授予相同的表达式,或者module=customers要么environment=production给您账户中的委托人。你只能授予相同或部分Lake Formation 权限(例如SELECT、ALTER,依此类推),这些是通过 LF-tag 表达式授予资源的。
要授予对共享表(名为 resource 方法)的权限,Amazon CLI)
-
输入类似以下的命令。在这个示例中:
-
您的Amazon账户 ID 为 112222-322-322-322-3322-
-
拥有该表并将其授予您的账户的账户是 1234-5678-9012。
-
这些区域有:
SELECT正在授予对共享表的权限pageviews给用户datalake_user1. 该用户是您账户的委托人。 -
这些区域有:
pageviews表位于analytics数据库,该数据库归账户 1234-5678-9012 所有。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "Table": {"CatalogId":"123456789012", "DatabaseName":"analytics", "Name":"pageviews"}}'请注意,拥有账户必须在
CatalogId属性位于resource参数。 -