第 4 步:实现命名资源方法 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 4 步:实现命名资源方法

要使用 named 资源方法,我们将引导您完成以下概括步骤:

  1. (可选)撤消对的权限IAMAllowedPrincipals在数据库、表和列上。

  2. 向消费者账户授予数据权限。

  3. 接受来自的资源共享Amazon Resource Access Manager.

  4. 为共享表创建资源链接。

  5. 将共享表的数据权限授予使用者。

  6. 将资源链接的数据权限授予使用者。

撤销对的权限IAMAllowedPrincipals在数据库、表和列上(可选)

  • 在本教程开始时,我们更改了Lake Formation 数据目录设置。如果您跳过该部分,则需要执行此步骤。有关说明,请参阅前一部分中的可选步骤。

向消费者账户授予数据权限

  1. 注意

    如果您以其他用户身份登录到生产者账户,请先注销。

    登录Lake Formation 控制台https://console.aws.amazon.com/lakeformation/使用生产者账户数据湖管理员使用Amazon Web Services 账户ID、IAM 用户名(默认为DatalakeAdminProducer),并在期间指定的密码Amazon CloudFormation堆栈创建。

  2. 在存储库的Permissions (权限)页面,位于数据Lake 权限选择Grant.

  3. UNDER委托人,选择外部账户,然后输入一个或多个Amazon Web Services 账户IdAmazon组织 ID。有关更多信息,请参阅:AmazonOrganizations.

    生产者账户所属的Organizations 和Amazon Web Services 账户在同一组织内自动显示。否则,请手动输入账户 ID 或组织 ID。

  4. 适用于LF 标签或目录资源,选择Named data catalog resources.

  5. UNDER数据库,选择数据库lakeformation_tutorial_cross_account_database_named_resource.

  6. 选择添加 LF-tag.

  7. UNDER,选择所有桌子.

  8. 适用于表列权限选择Select, 和描述表权限.

  9. SelectSelect描述,在下选择可授予权限.

  10. (可选)对于数据权限,选择基于列的简单访问如果需要列级权限管理。

  11. 选择 Grant(授权)。

如果您尚未撤销对的权限IAMAllowedPrincipals,你得到一个授予权限错误失败。此时,您应该会看到目标表正在通过共享Amazon RAM消费者账户低于权限、数据权限.

接受来自的资源共享Amazon RAM

注意

这个步骤仅在以下情况下为必填项Amazon Web Services 账户基于组织的共享,不适用于基于组织的共享。

  1. 登录到Amazon在处登录https://console.aws.amazon.com/connect/使用消费者账户数据湖管理员使用 IAM 用户名(默认为 DatalakeAdminConsumer) 和期间指定的密码Amazon CloudFormation堆栈创建。

  2. 在存储库的Amazon RAM控制台,在导航窗格中的下,在与我共享和 Resource shares中,选择共享的Lake Formation 资源。这些区域有:状态应为Pending.

  3. 选择操作Grant.

  4. 确认资源详细信息,然后选择接受资源共享.

    此时,消费者账户数据湖管理员应该能够在 Lake Formation 控制台上找到共享资源(https://console.aws.amazon.com/lakeformation/) UNDERData Catalog数据库.

为共享表创建资源链接

将共享表的数据权限授予使用者

要向使用者授予共享表的数据权限,请完成以下步骤:

  1. 在 Lake 编队控制台上 (https://console.aws.amazon.com/lakeformation/),在下选择Permissions (权限)数据Lake 权限,选择Grant.

  2. 适用于委托人,选择IAM 用户和角色,然后选择用户DataAnalyst.

  3. 适用于LF 标签或目录资源,选择命名数据目录资源.

  4. UNDER数据库,选择数据库lakeformation_tutorial_cross_account_database_named_resource. 如果您在下拉列表中看不到数据库,请选择加载更多.

  5. UNDER,选择表amazon_reviews_table_named_resource.

  6. 适用于表和列权限,选择Select描述表权限.

  7. 选择 Grant(授权)。

将资源链接的数据权限授予使用者

除了授予数据湖用户访问共享表的权限外,您还需要授予数据湖用户访问资源链接的权限。

  1. 在 Lake Formation 控制台上 (https://console.aws.amazon.com/lakeformation/),在下选择Permissions (权限)数据Lake 权限,选择Grant.

  2. 适用于委托人,选择IAM 用户和角色,然后选择用户DataAnalyst.

  3. 适用于LF 标签或目录资源,选择命名数据目录资源.

  4. UNDER数据库,选择数据库lakeformation_tutorial_cross_account_database_consumer. 如果您在下拉列表中看不到数据库,请选择加载更多.

  5. UNDER,选择表amazon_reviews_table_named_resource_resource_link.

  6. 适用于资源链接权限,选择描述资源链接权限.

  7. 选择 Grant(授权)。

    此时,消费者账户中的数据分析师用户应该能够找到数据库和资源链接,并通过 Athena 控制台查询共享表。

    如果没有,请确认是否正确配置了以下内容:

    • 已为共享表创建资源链接

    • 您授予了用户对创建者账户共享的表的访问权限

    • 您已授予用户访问为其创建资源链接的资源链接和数据库的访问权限