本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用控制台授予 LF 标签权限
<a name="TBAC-granting-tags-console"></a>

以下步骤说明如何使用 Lake Formation 控制台上的**授予 LF 标签权限**页面来授予对 LF 标签的权限。该页面分为以下几个部分：
+ **权限类型**：要授予的权限的类型。
+ **主体**：要向其授予权限的 IAM 用户或角色，或 SAML 用户或角色。
+  **LF 标签键值对权限**：要对其授予权限的 LF 标签键值对。
+  **LF 标签权限**：要对其授予权限的 LF 标签。
+  **LF 标签表达式权限**：要对其授予权限的 LF 标签表达式。
+  **权限**：要授予的权限。

## 打开**授予 LF 标签权限**页面
<a name="tag-start-grant"></a>

1. 打开 Lake Formation 控制台，网址为[https://console.aws.amazon.com/lakeformation/](https://console.amazonaws.cn/lakeformation/)。

   以 LF 标签创建者、数据湖管理员或已通过 `Grant` 选项被授予 LF 标签权限或对 LF 标签的 LF 标签键值对权限的用户身份登录。

1. 在导航窗格中，选择 **LF 标签和权限**，然后选择 **LF 标签权限**部分。

1. 选择 **Grant permissions**（授予权限）。

## 指定权限类型
<a name="grant-tag-permission-type"></a>

在**权限类型**部分中，选择权限类型。

LF 标签权限  
选择 **LF 标签权限**以允许主体更新 LF 标签值或删除 LF 标签。

LF 标签键值对权限  
选择 **LF 标签键值对权限**以允许主体将 LF 标签分配给数据目录资源、查看 LF 标签和值，并向主体授予对数据目录资源的基于 LF 标签的权限。  
以下各部分中可用的选项取决于**权限类型**。

LF 标签表达式权限  
选择 **LF 标签表达式权限**以允许主体更新表达式或删除表达式。

## 指定主体
<a name="grant-tags-principals"></a>

**注意**  
您不能向外部账户或其他账户中的主体授予 LF 标签权限（`Alter` 和 `Drop`）。

在**主体**部分中，选择主体类型，然后指定要向其授予权限的主体。

![“主体”部分包含以下文本中命名的三个磁贴。每个磁贴包含一个选项按钮和文本。“IAM 用户和角色”磁贴处于选中状态，“IAM 用户和角色”下拉列表位于磁贴下方。](http://docs.amazonaws.cn/lake-formation/latest/dg/images/grant-tags-principals-section.png)


**IAM 用户和角色**  
从 **IAM 用户和角色**列表中选择一个或多个用户或角色。

**SAML 用户和组**  
对于 **SAML 和 Quick 用户和群组**，请为通过 SAML 联合的用户或群组或快速用户或群组输入一个或 ARNs 多个 Amazon 资源名称 (ARNs)。在每个 ARN 后按 **Enter**。  
有关如何构造的信息 ARNs，请参见[Lake Formation 授予和撤销命令 Amazon CLI](lf-permissions-reference.md#perm-command-format)。  
仅Quick 企业版支持 Lake Formation 与 Quick 集成。

**外部账户**  
对于**Amazon 帐户**，请输入一个或多个有效 Amazon 帐户 IDs。在每个 ID 后按 **Enter**。  
组织 ID 由“o-”后跟 10 到 32 个小写字母或数字组成。  
单位 ID 以“ou-”开头，后跟 4 到 32 个小写字母或数字（包含 OU 的根的 ID）。该字符串后跟第二个“-”短横线和 8 到 32 个额外的小写字母或数字。  
对于 IAM 主体，输入 IAM 用户或角色的 ARN。

## 指定 LF 标签
<a name="grant-tags-tags"></a>

要授予对 LF 标签的权限，请在 **LF 标签权限**部分中，指定要对其授予权限的 LF 标签。

![LF 标签部分显示两行字段，其中每行从左到右都有一个“键”字段、一个“值”字段和一个“移除”按钮。“值”字段是一个下拉列表。两行字段下方有一个“添加 LF 标签”按钮。第一行在“键”字段中显示“module”，在“值”字段下方是两个小磁贴，分别包含“Orders”和“Sales”，表示用户已选择“Orders”和“Sales”作为键 module 的值。每个磁贴都有一个 X，您可以单击它（如关闭框）来删除相应的磁贴。如果字段为空，则为第二行。](http://docs.amazonaws.cn/lake-formation/latest/dg/images/grant-tags-tags-section-2.png)

+ 使用下拉列表选择一个或多个 LF 标签。

## 指定 LF 标签键值对
<a name="w2aac15b9c27c19c21c15"></a>

1. 要授予对 LF 标签键值对的权限，（您需要先选择 **LF 标签键值对权限**作为**权限类型**）选择**添加 LF 标签键值对**以显示用于指定 LF 标签键和值的第一行字段。  
![LF-tag 键值对权限接口，带有键和值输入字段以及权限复选框。](http://docs.amazonaws.cn/lake-formation/latest/dg/images/tag-key-value-pair.png)

1. 将光标置于**键**字段中，可以选择开始键入以缩小选择列表范围，然后选择 LF 标签键。

1. 在**值**列表中，选择一个或多个值，然后按 **Tab** 键或在字段外单击或点按以保存所选值。
**注意**  
如果**值**列表中的某一行具有焦点，则按 **Enter** 键可选中或清除相应的复选框。

   所选值显示为**值**列表下方的磁贴。选择 ✖ 以删除值。选择**删除**以删除整个 LF 标签。

1. 要添加另一个 LF 标签，请再次选择**添加 LF 标签**，然后重复前两个步骤。

## 指定 LF 标签表达式
<a name="w2aac15b9c27c19c21c17"></a>

1. 要对 LF 标签表达式授予权限，（您需要先在**权限类型**中选择 **LF 标签表达式权限**）。  
![选择 LF-tag 表达式权限选项，并将 datalake_user 添加为主体。](http://docs.amazonaws.cn/lake-formation/latest/dg/images/tag-expression.png)

1. 选择 LF 标签表达式。

1. 所选表达式在 **LF 标签表达式**列表下方显示为磁贴。选择 ✖ 以移除表达式。

1. 要添加另一个 LF 标签表达式，请选择另一个表达式。

## 指定权限
<a name="grant-tags-permissions"></a>

本部分根据您在上一步中选择的**权限类型**显示 **LF 标签权限**或 **LF 标签值权限**。

根据您选择授予的**权限类型**，选择 **LF 标签权限**或 **LF 标签键值对权限**和可授予的权限。

1. 在 **LF 标签权限**下，选择要授予的权限。

   授予 **Drop** 和 **Alter** 权限会隐式授予 **Describe** 权限。

   您需要授予对所有标签值的 **Alter** 和 **Drop** 权限。

1. 在 **LF 标签键值对权限**下，选择要授予的权限。

   授予 **Associate** 权限会隐式授予 **Describe** 权限。选择**使用 LF 标签表达式授予权限**，以允许授予接收人使用 LF-TBAC 方法授予或撤销对数据目录资源的访问权限。

1. 在 **LF 标签表达式权限**下，选择要授予的权限。

   授予 **Drop** 和 **Alter** 权限会隐式授予 **Describe** 权限。

   授予 **Super** 权限，即授予所有可用权限。

1. （可选）在 “**可授予权限**” 下，选择授予接受者可以向其 Amazon 账户中的其他委托人授予的权限。

1. 选择**授权**。