本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用控制台授予 LF 标签权限
以下步骤说明如何使用 Lake Formation 控制台上的授予 LF 标签权限页面来授予对 LF 标签的权限。该页面分为以下几个部分:
-
权限类型 - 要授予的权限的类型。
-
委托人-要向其授予权限的用户、角色或 Amazon 账户。
-
LF 标签 - 要对其授予权限的 LF 标签。
-
权限 - 要授予的权限。
打开授予 LF 标签权限页面
-
通过 https://console.aws.amazon.com/lakeformation/
打开 Lake Formation 控制台。 以 LF 标签创建者、数据湖管理员或已通过
Grant选项被授予 LF 标签权限或对 LF 标签的 LF 标签键值对权限的用户身份登录。 -
在导航窗格中,选择 LF 标签和权限,然后选择 LF 标签权限部分。
-
选择 Grant permissions(授予权限)。
指定权限类型
在权限类型部分中,选择权限类型。
- LF 标签权限
-
选择 LF 标签权限以允许主体更新 LF 标签值或删除 LF 标签。
- LF 标签键值对权限
-
选择 LF 标签键值对权限以允许主体将 LF 标签分配给数据目录资源、查看 LF 标签和值,并向主体授予对数据目录资源的基于 LF 标签的权限。
以下各部分中可用的选项取决于权限类型。
指定主体
注意
您不能向外部账户或其他账户中的主体授予 LF 标签权限(Alter 和 Drop)。
在主体部分中,选择主体类型,然后指定要向其授予权限的主体。
- IAM 用户和角色
-
从 IAM 用户和角色列表中选择一个或多个用户或角色。
- SAML 用户和组
-
对于 SAML 和 Amazon QuickSight 用户和群组,请为通过 SAML 联合的用户或群组输入一个或多个亚马逊资源名称 (ARN),为亚马逊用户或群组输入一个或多个 QuickSight亚马逊资源名称 (ARN)。在每个 ARN 后按 Enter。
有关如何构建 ARN 的信息,请参阅 Lake Formation 授予和撤销命令 Amazon CLI。
注意
仅亚马逊 QuickSight 企业版支持 Lake Format QuickSight ion 与亚马逊的集成。
- 外部账户
-
对于Amazon 账户,请输入一个或多个有效的 Amazon 账户 ID。在每个 ID 后按 Enter。
组织 ID 由“o-”后跟 10 到 32 个小写字母或数字组成。
单位 ID 以“ou-”开头,后跟 4 到 32 个小写字母或数字(包含 OU 的根的 ID)。该字符串后跟第二个“-”短横线和 8 到 32 个额外的小写字母或数字。
对于 IAM 主体,输入 IAM 用户或角色的 ARN。
指定 LF 标签
要授予对 LF 标签的权限,请在 LF 标签权限部分中,指定要对其授予权限的 LF 标签。
使用下拉列表选择一个或多个 LF 标签。
指定 LF 标签键值对
-
要授予对 LF 标签键值对的权限,(您需要先选择 LF 标签键值对权限作为权限类型)选择添加 LF 标签键值对以显示用于指定 LF 标签键和值的第一行字段。
-
将光标置于键字段中,可以选择开始键入以缩小选择列表范围,然后选择 LF 标签键。
-
在值列表中,选择一个或多个值,然后按 Tab 键或在字段外单击或点按以保存所选值。
注意
如果值列表中的某一行具有焦点,则按 Enter 键可选中或清除相应的复选框。
所选值显示为值列表下方的磁贴。选择 ✖ 以删除值。选择删除以删除整个 LF 标签。
-
要添加另一个 LF 标签,请再次选择添加 LF 标签,然后重复前两个步骤。
指定权限
本部分根据您在上一步中选择的权限类型显示 LF 标签权限或 LF 标签值权限。
根据您选择授予的权限类型,选择 LF 标签权限或 LF 标签键值对权限和可授予的权限。
-
在 LF 标签权限下,选择要授予的权限。
授予 Drop 和 Alter 权限会隐式授予 Describe 权限。
您需要授予对所有标签值的 Alter 和 Drop 权限。
-
在 LF 标签键值对权限下,选择要授予的权限。
授予 Associate 权限会隐式授予 Describe 权限。选择使用 LF 标签表达式授予权限,以允许授予接收人使用 LF-TBAC 方法授予或撤销对数据目录资源的访问权限。
-
(可选)在 “可授予权限” 下,选择授予接受者可以向其 Amazon 账户中的其他委托人授予的权限。
-
选择授权。