使用控制台授予 LF 标签权限 - Amazon Lake Formation
打开授予 LF 标签权限页面指定权限类型指定主体指定 LF 标签指定 LF 标签键值对指定 LF-Tag 表达式指定权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用控制台授予 LF 标签权限

以下步骤说明如何使用 Lake Formation 控制台上的授予 LF 标签权限页面来授予对 LF 标签的权限。该页面分为以下几个部分:

  • 权限类型 - 要授予的权限的类型。

  • 委托人 — 要向其授予权限的 IAM 用户或角色,或 SAML 用户或角色。

  • LF-tag 键值对权限权限 — 要授予权限的 LF-Tag 键值对

  • LF-tag 权限 — 要授予权限的 LF 标签。

  • LF-tag 表达式权限权限-要授予权限的 LF 标签。

  • 权限 - 要授予的权限。

打开授予 LF 标签权限页面

  1. 打开 Lake Formation 控制台,网址为https://console.aws.amazon.com/lakeformation/

    以 LF 标签创建者、数据湖管理员或已通过 Grant 选项被授予 LF 标签权限或对 LF 标签的 LF 标签键值对权限的用户身份登录。

  2. 在导航窗格中,选择 LF 标签和权限,然后选择 LF 标签权限部分。

  3. 选择 Grant permissions(授予权限)。

指定权限类型

权限类型部分中,选择权限类型。

LF 标签权限

选择 LF 标签权限以允许主体更新 LF 标签值或删除 LF 标签。

LF 标签键值对权限

选择 LF 标签键值对权限以允许主体将 LF 标签分配给数据目录资源、查看 LF 标签和值,并向主体授予对数据目录资源的基于 LF 标签的权限。

以下各部分中可用的选项取决于权限类型

LF-tag 表达式权限

选择 LF-Tag 表达式权限以允许委托人更新表达式或删除表达式。

指定主体

注意

您不能向外部账户或其他账户中的主体授予 LF 标签权限(AlterDrop)。

主体部分中,选择主体类型,然后指定要向其授予权限的主体。

“主体”部分包含以下文本中命名的三个磁贴。每个磁贴包含一个选项按钮和文本。“IAM 用户和角色”磁贴处于选中状态,“IAM 用户和角色”下拉列表位于磁贴下方。
IAM 用户和角色

IAM 用户和角色列表中选择一个或多个用户或角色。

SAML 用户和组

对于 SAML 以及 QuickSight 用户和群组,请为通过 SAML 联合的用户或群组,或者为用户或群组输入一个或 ARNs 多个 Amazon 资源名称 (ARNs)。 QuickSight在每个 ARN 后按 Enter

有关如何构造的信息 ARNs,请参见Lake Formation 授予和撤销命令 Amazon CLI

注意

仅 QuickSight 企业版支持与 Lak QuickSight e Formation 集成。

外部账户

对于Amazon 帐户,请输入一个或多个有效 Amazon 帐户 IDs。在每个 ID 后按 Enter

组织 ID 由“o-”后跟 10 到 32 个小写字母或数字组成。

单位 ID 以“ou-”开头,后跟 4 到 32 个小写字母或数字(包含 OU 的根的 ID)。该字符串后跟第二个“-”短横线和 8 到 32 个额外的小写字母或数字。

对于 IAM 主体,输入 IAM 用户或角色的 ARN。

指定 LF 标签

要授予对 LF 标签的权限,请在 LF 标签权限部分中,指定要对其授予权限的 LF 标签。

LF 标签部分显示两行字段,其中每行从左到右都有一个“键”字段、一个“值”字段和一个“移除”按钮。“值”字段是一个下拉列表。两行字段下方有一个“添加 LF 标签”按钮。第一行在“键”字段中显示“module”,在“值”字段下方是两个小磁贴,分别包含“Orders”和“Sales”,表示用户已选择“Orders”和“Sales”作为键 module 的值。每个磁贴都有一个 X,您可以单击它(如关闭框)来删除相应的磁贴。如果字段为空,则为第二行。

  • 使用下拉列表选择一个或多个 LF 标签。

指定 LF 标签键值对

  1. 要授予对 LF 标签键值对的权限,(您需要先选择 LF 标签键值对权限作为权限类型)选择添加 LF 标签键值对以显示用于指定 LF 标签键和值的第一行字段。

    Interface for adding LF-Tag key-value pairs and setting associated permissions.

  2. 将光标置于字段中,可以选择开始键入以缩小选择列表范围,然后选择 LF 标签键。

  3. 列表中,选择一个或多个值,然后按 Tab 键或在字段外单击或点按以保存所选值。

    注意

    如果列表中的某一行具有焦点,则按 Enter 键可选中或清除相应的复选框。

    所选值显示为列表下方的磁贴。选择 ✖ 以删除值。选择删除以删除整个 LF 标签。

  4. 要添加另一个 LF 标签,请再次选择添加 LF 标签,然后重复前两个步骤。

指定 LF-Tag 表达式

  1. 要授予 LF-Tag 表达式的权限,(您需要先选择选择 LF-Tag 表达式权限作为权限类型)。

  2. 选择一个 LF-Tag 表达式。

  3. 所选表达式在 LF-Tag 表达式列表下方显示为图块。选择 ✖ 可移除表达式。

  4. 要添加另一个 LF-Tag 表达式,请选择另一个表达式。

指定权限

本部分根据您在上一步中选择的权限类型显示 LF 标签权限LF 标签值权限

根据您选择授予的权限类型,选择 LF 标签权限LF 标签键值对权限和可授予的权限。

  1. LF 标签权限下,选择要授予的权限。

    授予 DropAlter 权限会隐式授予 Describe 权限。

    您需要授予对所有标签值的 AlterDrop 权限。

  2. LF 标签键值对权限下,选择要授予的权限。

    授予 Associate 权限会隐式授予 Describe 权限。选择使用 LF 标签表达式授予权限,以允许授予接收人使用 LF-TBAC 方法授予或撤销对数据目录资源的访问权限。

  3. LF-tag 表达式权限下,选择要授予的权限。

    授予 DropAlter 权限会隐式授予 Describe 权限。

    授予超级权限,即授予所有可用权限。

  4. (可选)在 “可授予权限” 下,选择授予接受者可以向其 Amazon 账户中的其他委托人授予的权限。

  5. 选择授权