第 1 步:提供针对其他账户的精细访问权限 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 1 步:提供针对其他账户的精细访问权限

了解账户 A 的数据湖管理员如何为账户 B 提供精细访问权限。

授予另一个账户精细访问权限

  1. 登录Amazon Web Services Management Console在https://console.aws.amazon.com/connect/以数据湖管理员的身份进入账户 A。

  2. 打开 Lake Formation 控制台 (https://console.aws.amazon.com/lakeformation/),然后选择试用.

  3. 在导航窗格中,选择数据库.

  4. 选择创建数据库

  5. 数据库详细信息部分,选择数据库.

  6. 适用于名称,请输入名称(在本教程中,我们将使用sampledb01)。

  7. 确保仅对该数据库中的新表使用 IAM 访问控制未被选中。不选中此选项允许我们控制来自Lake Formation 的进入。

  8. 选择 Create database(创建数据库)。

  9. 在存储库的数据库页面,选择您的数据库sampledb01.

  10. 在存储库的操作菜单上,选择Grant.

  11. 授予权限部分,选择External 账户.

  12. 适用于Amazon Web Services 账户ID 或Amazon组织 ID,输入 OU2 中账户 B 的账户 ID。

  13. 适用于,选择你希望账户 B 有权访问的表(在这篇文章中,我们使用表acc_a_area)。或者,您可以授予对表中列的访问权限,我们在本文中就是这样做的。

  14. 适用于包括列选择您希望账户 B 有权访问的列(对于这篇文章,我们授予了键入、名称和标识符的权限)。

  15. 适用于,选择包括列.

  16. 适用于表权限,选择Select.

  17. 适用于可授予权限,选择Select. 需要可授予的权限,这样账户 B 中的管理员用户才能向账户 B 中的其他用户授予权限。

  18. 选择 Grant(授权)。

  19. 在导航窗格中,选择

  20. 你可以在里面看到一个活跃的连接Amazon Web Services 账户和Amazon有访问权限的组织。

创建资源链接

像 Amazon Athena 这样的集成服务无法直接跨账户访问数据库或表。因此,您需要创建资源链接,以便 Athena 可以访问您账户中的资源链接,指向其他账户中的数据库和表。创建指向表格的资源链接 (acc_a_area)因此账户 B 用户可以向 Athena 查询其数据。

  1. 登录到Amazon控制台处登录https://console.aws.amazon.com/connect/在账户 B 中testuser1.

  2. 在 Lake Formation 控制台上 (https://console.aws.amazon.com/lakeformation/),在导航窗格中,选择. 您应该看到账户 A 提供访问权限的表格。

  3. 选择 acc_a_area 表。

  4. 在存储库的操作菜单上,选择创建资源链接.

  5. 适用于资源链接名称,请输入名称(在本教程中,请输入名称(在本教程中,acc_a_area_rl)。

  6. 适用于数据库,选择您的数据库 (testdb)。

  7. 选择Create(创建)。

  8. 在导航窗格中,选择

  9. 选择 acc_b_area_rl 表。

  10. 在存储库的操作菜单上,选择查看数据.

    您将被重定向到 Athena 控制台,在其中您应看到数据库和表。

    现在,您可以对表运行查询,查看账户 B 向 testuser1 提供了访问权限的列值。