权限 APIs - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

权限 APIs

权限API描述了与AWSLakeFormation中授予和撤销权限相关的数据类型和操作。

数据类型

资源结构

资源的结构。

Fields

  • Catalog – 名为的空结构 CatalogResource.

    数据目录的标识符。默认情况下,帐户ID为。DataCatalog是永久的元数据存储。它包含数据库定义、表定义和其他控制信息,用于管理AWSLakeFormation环境。

  • Database – 一个 DatabaseResource 对象。

    资源的数据库。对数据目录是唯一的。数据库是一组关联的表定义,这些定义组织到一个逻辑组内。您可以授予和撤销主体的数据库权限。

  • Table – 一个 TableResource 对象。

    资源的表。表是代表您的数据的元数据定义。您可以向委托人授予和撤消表权限。

  • TableWithColumns – 一个 TableWithColumnsResource 对象。

    包含资源列的表。具有此资源权限的主体可以从数据目录中表的列和AmazonS3中的基础数据中选择元数据。

  • DataLocation – 一个 DataLocationResource 对象。

    AmazonS3路径授予或撤销权限的位置。

DatabaseResource结构

数据库对象的结构。

Fields

  • CatalogId – 目录ID字符串,长度不少于1或255字节,匹配 Single-line string pattern.

    数据目录的标识符。默认情况下,它是主叫者的帐户ID。

  • Name必填: UTF-8字符串,长度不少于1或255字节,匹配 Single-line string pattern.

    数据库资源的名称。对数据目录是唯一的。

TableResource结构

表对象的结构。表是代表您的数据的元数据定义。您可以向委托人授予和撤消表权限。

Fields

  • CatalogId – 目录ID字符串,长度不少于1或255字节,匹配 Single-line string pattern.

    数据目录的标识符。默认情况下,它是主叫者的帐户ID。

  • DatabaseName必填: UTF-8字符串,长度不少于1或255字节,匹配 Single-line string pattern.

    表的数据库名称。对数据目录是唯一的。数据库是一组关联的表定义,这些定义组织到一个逻辑组内。您可以向委托人授予和撤消数据库权限。

  • Name – UTF-8字符串,长度不少于1或255字节,匹配 Single-line string pattern.

    表的名称。

  • TableWildcard – 名为的空结构 TableWildcard.

    通配符对象,表示数据库下的每个表。

    至少需要 TableResource$NameTableResource$TableWildcard 之一。

TableWithColumnsResource结构

具有列对象的表的结构。此对象仅在授予 SELECT 权限时使用。

此对象必须至少从 ColumnsNamesColumnsIndexesColumnsWildcard 之一获取值。

Fields

  • CatalogId – 目录ID字符串,长度不少于1或255字节,匹配 Single-line string pattern.

    数据目录的标识符。默认情况下,它是主叫者的帐户ID。

  • DatabaseName必填: UTF-8字符串,长度不少于1或255字节,匹配 Single-line string pattern.

    具有列资源的表的数据库名称。对数据目录是唯一的。数据库是一组关联的表定义,这些定义组织到一个逻辑组内。您可以向委托人授予和撤消数据库权限。

  • Name必填: UTF-8字符串,长度不少于1或255字节,匹配 Single-line string pattern.

    表资源的名称。表是代表您的数据的元数据定义。您可以向委托人授予和撤消表权限。

  • ColumnNames – 一串UTF-8字符串。

    表的列名的列表。至少需要 ColumnNamesColumnWildcard 之一。

  • ColumnWildcard – 一个 ColumnWildcard 对象。

    ColumnWildcard 对象指定的通配符。至少需要 ColumnNamesColumnWildcard 之一。

DataLocationResource结构

授予或撤销权限的数据位置对象的结构。

Fields

  • CatalogId – 目录ID字符串,长度不少于1或255字节,匹配 Single-line string pattern.

    在AWSLakeFormation注册位置的数据目录的标识符。默认情况下,它是主叫者的帐户ID。

  • ResourceArn必填: UTF-8字符串.

    唯一标识数据位置资源的Amazon资源名称(ARN)。

DataLakePrincipal结构

AWS Lake Formation 委托人。支持的主体是IAM用户或IAM角色。

Fields

  • DataLakePrincipalIdentifier – UTF-8字符串,长度不少于1或255字节。

    AWS Lake Formation 委托人的标识符。

ResourcePermissions结构

对资源授予或撤销的权限。

Fields

  • Resource – 一个 Resource 对象。

    要授予或撤消权限的资源。

  • Permissions – 一串UTF-8字符串。

    授予或撤销资源的权限。

  • PermissionsWithGrantOption – 一串UTF-8字符串。

    指示是否提供授予权限的能力(作为授予的权限的子集)。

ResourcePermissionsError结构

一种结构,表示对资源授予或撤销权限时出错。

Fields

  • ResourcePermissions – 一个 ResourcePermissions 对象。

    发生错误的资源权限列表。

  • Error – 一种 ErrorDetail 对象。

    尝试授予或撤销资源权限时相关的错误。

PrincipalResourcePermissions结构

对资源授予或撤销的权限。

Fields

  • Principal – 一个 DataLakePrincipal 对象。

    要授予或撤销权限的数据湖主体。

  • Resource – 一个 Resource 对象。

    要授予或撤销权限的资源。

  • Permissions – 一串UTF-8字符串。

    授予或撤销资源的权限。

  • PermissionsWithGrantOption – 一串UTF-8字符串。

    指示是否提供授予权限的能力(作为授予的权限的子集)。

  • AdditionalDetails – 一个 DetailsMap 对象。

    此属性可用于返回任何附加详细信息 PrincipalResourcePermissions。当前仅作为RAM资源共享返回ARN。

DetailsMap结构

包含要返回的其他详细信息的结构 AdditionalDetails 属性 PrincipalResourcePermissions.

如果通过AWS资源访问管理器(AWSRAM)共享目录资源,则存在相应的RAM资源共享ARN。

Fields

  • ResourceShare – AnarrayofUTF-8strings.

    资源共享通过AWS资源访问管理器(AWSRAM)共享的目录资源的ARN。

PrincipalResourcePermissionsError结构

一种结构,表示授予或撤销主体权限时出错。

Fields

  • PrincipalResourcePermissions – 一个 PrincipalResourcePermissions 对象。

    要授予或撤消的主要权限。

  • Error – 一种 ErrorDetail 对象。

    尝试授予或撤销权限的错误消息。

ColumnWildcard结构

一个通配符对象,由排除的列名或索引的可选列表组成。

Fields

  • ExcludedColumnNames – 一串UTF-8字符串。

    排除列名称。将排除具有此名称的任何列。

BatchPermissionsRequestEntry结构

由批处理操作授予给主体的资源权限。

Fields

  • Id必填: UTF-8字符串,长度不少于1或255字节。

    批处理权限请求条目的唯一标识符。

  • Principal – 一个 DataLakePrincipal 对象。

    要授予权限的主体。

  • Resource – 一个 Resource 对象。

    要授予主体权限的资源。

  • Permissions – AnarrayofUTF-8strings.

    要授予的权限。

  • PermissionsWithGrantOption – AnarrayofUTF-8strings.

    指示是否授予通过权限的选项。

BatchPermissionsFailureEntry结构

执行批授予或批撤消操作时的故障列表。

Fields

PrincipalPermissions结构

向委托人授予的权限。

Fields

  • Principal – 一个 DataLakePrincipal 对象。

    被授予权限的委托人。

  • Permissions – 一串UTF-8字符串。

    向委托人授予的权限。

Operations

GrantPermissions 操作(Python:grant_permissions)

授予主体访问数据目录中元数据的权限,以及基础数据存储(例如AmazonS3)中组织的数据的权限。

有关权限的信息,请参阅 元数据和数据的安全和访问控制.

Request

  • CatalogId – 目录ID字符串,长度不少于1或255字节,匹配 Single-line string pattern.

    数据目录的标识符。默认情况下,帐户ID为。DataCatalog是永久的元数据存储。它包含数据库定义、表定义和其他控制信息,用于管理AWSLakeFormation环境。

  • Principal必填: 一个 DataLakePrincipal 对象。

    授予资源权限的主体。支持的主体是IAM用户或IAM角色,它们由其主体类型和其ARN定义。

    请注意,如果您使用特定ARN定义资源,然后稍后删除,并重新创建具有相同ARN的资源,则资源将保留已授予的权限。

  • Resource必填: 一个 Resource 对象。

    授予权限的资源。AWSLakeFormation中的资源是数据目录、数据库和表。

  • Permissions必填: 一串UTF-8字符串。

    授予资源上主体的权限。AWSLakeFormation定义了授予和撤销对数据目录中元数据以及底层数据存储(如AmazonS3)中组织的数据的访问权限的权限。AWSLakeFormation要求每个主体都被授权在AWSLakeFormation资源上执行特定任务。

  • PermissionsWithGrantOption – 一串UTF-8字符串。

    表示主体可能传递给其他用户的授予权限列表。这些权限只能是 Privileges.

Response

  • 无响应参数。

Errors

  • ConcurrentModificationException

  • EntityNotFoundException

  • InvalidInputException

RevokePermissions 操作(Python:撤销权限)

撤销对主体的访问权限,以访问数据目录中的元数据和基础数据存储(例如AmazonS3)中组织的数据。

Request

  • CatalogId – 目录ID字符串,长度不少于1或255字节,匹配 Single-line string pattern.

    数据目录的标识符。默认情况下,帐户ID为。DataCatalog是永久的元数据存储。它包含数据库定义、表定义和其他控制信息,用于管理AWSLakeFormation环境。

  • Principal必填: 一个 DataLakePrincipal 对象。

    要撤消的资源权限的主体。

  • Resource必填: 一个 Resource 对象。

    权限将被撤消的资源。

  • Permissions必填: 一串UTF-8字符串。

    权限已撤消至资源的主体。有关权限的信息,请参阅 元数据和数据的安全和访问控制.

  • PermissionsWithGrantOption – 一串UTF-8字符串。

    表示要撤消授予选项的权限列表,允许主体将权限传递给其他主体。

Response

  • 无响应参数。

Errors

  • ConcurrentModificationException

  • EntityNotFoundException

  • InvalidInputException

BatchGrantPermissions 操作(Python:batch_grant_permissions)

批量操作以授予主体的权限。

Request

  • CatalogId – 目录ID字符串,长度不少于1或255字节,匹配 Single-line string pattern.

    数据目录的标识符。默认情况下,帐户ID为。DataCatalog是永久的元数据存储。它包含数据库定义、表定义和其他控制信息,用于管理AWSLakeFormation环境。

  • Entries必填: BatchPermissionsRequestEntry 对象数组。

    通过批处理操作授予给主体的资源权限的最多20个条目列表。

Response

Errors

  • InvalidInputException

  • OperationTimeoutException

BatchRevokePermissions 操作(Python:batch_revoke_permissions)

从主体撤消权限的批处理操作。

Request

  • CatalogId – 目录ID字符串,长度不少于1或255字节,匹配 Single-line string pattern.

    数据目录的标识符。默认情况下,帐户ID为。DataCatalog是永久的元数据存储。它包含数据库定义、表定义和其他控制信息,用于管理AWSLakeFormation环境。

  • Entries必填: BatchPermissionsRequestEntry 对象数组。

    最多20个要通过批处理操作撤消的资源权限的条目列表。

Response

Errors

  • InvalidInputException

  • OperationTimeoutException

GetEffectivePermissionsForPath 操作(Python:get_effective_permissions_for_path)

返回位于AmazonS3中路径的指定表或数据库资源的LakeFormation权限。GetEffectivePermissionsForPath 如果目录已加密,将不会返回数据库和表。

Request

  • CatalogId – 目录ID字符串,长度不少于1或255字节,匹配 Single-line string pattern.

    数据目录的标识符。默认情况下,帐户ID为。DataCatalog是永久的元数据存储。它包含数据库定义、表定义和其他控制信息,用于管理AWSLakeFormation环境。

  • ResourceArn必填: UTF-8字符串.

    要获取其权限的资源的Amazon资源名称(ARN)。

  • NextToken – UTF-8字符串.

    继续令牌,如果这不是第一个检索此列表的呼叫。

  • MaxResults – 数字(整数),不低于1或大于1000。

    要返回的最大结果数量。

Response

  • Permissions – 一系列 PrincipalResourcePermissions 对象。

    指定表或数据库资源的权限列表,位于AmazonS3的路径中。

  • NextToken – UTF-8字符串.

    继续令牌,如果这不是第一个检索此列表的呼叫。

Errors

  • InvalidInputException

  • EntityNotFoundException

  • OperationTimeoutException

  • InternalServiceException

ListPermissions 操作(Python:list_permissions)

返回资源的主要权限列表,按主叫方的权限过滤。例如,如果您被授予了ALTER权限,则您只能查看ALTER的主要权限。

此操作仅返回已明确授予的权限。

有关权限的信息,请参阅 元数据和数据的安全和访问控制.

Request

  • CatalogId – 目录ID字符串,长度不少于1或255字节,匹配 Single-line string pattern.

    数据目录的标识符。默认情况下,帐户ID为。DataCatalog是永久的元数据存储。它包含数据库定义、表定义和其他控制信息,用于管理AWSLakeFormation环境。

  • Principal – 一个 DataLakePrincipal 对象。

    指定主体以过滤返回的权限。

  • ResourceType – UTF-8字符串(有效值: CATALOG |内测 DATABASE |内测 TABLE |内测 DATA_LOCATION)。

    指定资源类型以过滤返回的权限。

  • Resource – 一个 Resource 对象。

    一种资源,在其中您将获得主权限列表。

    此操作不支持获取包含列的表的权限。相反,在表上调用此操作,操作返回表和列。

  • NextToken – UTF-8字符串.

    继续令牌,如果这不是第一个检索此列表的呼叫。

  • MaxResults – 数字(整数),不低于1或大于1000。

    要返回的最大结果数量。

Response

  • PrincipalResourcePermissions – 一系列 PrincipalResourcePermissions 对象。

    指定主体和资源类型的主体及其对资源的权限列表。

  • NextToken – UTF-8字符串.

    继续令牌,如果这不是第一个检索此列表的呼叫。

Errors

  • InvalidInputException

  • OperationTimeoutException

  • InternalServiceException