权限 API - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

权限 API

权限 API 介绍与授予和撤销权限有关的数据类型和操作Amazon Lake Formation.

数据类型

资源结构

资源的结构。

字段

  • Catalog— 一个名为的空结构CatalogResource.

    数据目录的标识符。默认情况下,账户 ID。数据目录是持久性元数据存储。它包含数据库定义、表定义以及其他用于管理您的控制信息。Amazon Lake Formation环境。

  • Database – 一个 DatabaseResource 对象。

    资源的数据库。对数据目录是唯一的。数据库是一组关联的表定义,这些定义组织到一个逻辑组内。您可以向委托人授予和撤消数据库权限。

  • Table – 一个 TableResource 对象。

    资源的表格。表是代表您的数据的元数据定义。您可以向委托人授予和撤消表权限。

  • TableWithColumns – 一个 TableWithColumnsResource 对象。

    包含资源列的表。拥有此资源权限的委托人可以从数据目录中的表列中选择元数据以及中的底层数据。Amazon S3.

  • DataLocation – 一个 DataLocationResource 对象。

    一个位置Amazon S3向其授予或撤销权限的路径。

  • DataCellsFilter – 一个 数据Cells过滤器资源 对象。

    数据单元格过滤器。

  • LFTag – 一个 lftagkey 资源 对象。

    附加到资源的 LF-tag 键值。

  • LFTagPolicy – 一个 lftag 策略资源 对象。

    定义资源的 LF-tag 策略的 LF-tag 条件列表。

DatabaseResource 结构

数据库对象的结构。

字段

  • CatalogId – 目录 id 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    数据目录的标识符。默认情况下,它是调用者的账户 ID。

  • Name:必需 — UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与匹配Single-line string pattern.

    数据库资源的名称。对数据目录是唯一的。

TableResource 结构

表对象的结构。表是代表您的数据的元数据定义。您可以向委托人授予和撤消表权限。

字段

  • CatalogId – 目录 id 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    数据目录的标识符。默认情况下,它是调用者的账户 ID。

  • DatabaseName:必需 — UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与匹配Single-line string pattern.

    表的数据库名称。对数据目录是唯一的。数据库是一组关联的表定义,这些定义组织到一个逻辑组内。您可以向委托人授予和撤消数据库权限。

  • Name – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    表的名称。

  • TableWildcard— 一个名为的空结构TableWildcard.

    表示数据库下每个表的通配符对象。

    至少需要 TableResource$NameTableResource$TableWildcard 之一。

TableWithColumnsResource 构

具有列对象的表的结构。此对象仅在授予 SELECT 权限时使用。

此对象必须至少从 ColumnsNamesColumnsIndexesColumnsWildcard 之一获取值。

字段

  • CatalogId – 目录 id 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    数据目录的标识符。默认情况下,它是调用者的账户 ID。

  • DatabaseName:必需 — UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与匹配Single-line string pattern.

    具有列资源的表的数据库名称。对数据目录是唯一的。数据库是一组关联的表定义,这些定义组织到一个逻辑组内。您可以向委托人授予和撤消数据库权限。

  • Name:必需 — UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与匹配Single-line string pattern.

    表资源的名称。表是代表您的数据的元数据定义。您可以向委托人授予和撤消表权限。

  • ColumnNames – UTF-8 字符串数组。

    表的列名的列表。至少需要 ColumnNamesColumnWildcard 之一。

  • ColumnWildcard – 一个 ColumnWildcard 对象。

    ColumnWildcard 对象指定的通配符。至少需要 ColumnNamesColumnWildcard 之一。

DataCellsFilterResource 结构

数据单元格筛选资源的结构。

字段

  • TableCatalogId – 目录 id 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    表所属的目录的 ID。

  • DatabaseName – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    中的数据库Amazon Glue数据目录。

  • TableName – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    表的名称。

  • Name – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    数据单元格筛选器的名称。

DataLocationResource 结构

授予或撤销权限的数据位置对象的结构。

字段

  • CatalogId – 目录 id 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    向其注册位置的数据目录的标识符Amazon Lake Formation. 默认情况下,它是调用者的账户 ID。

  • ResourceArn:必需 UTF-8 字符串。

    唯一标识数据位置资源的 Amazon 资源名称 (ARN)。

DataLakePrincipal 结构

Amazon Lake Formation 委托人。支持的委托人是IAM用户或IAM角色。

字段

  • DataLakePrincipalIdentifier – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节。

    Amazon Lake Formation 委托人的标识符。

ResourcePercount 结构

向资源授予或撤销的权限。

字段

  • Resource – 一个 资源 对象。

    要授予或撤销权限的资源。

  • Permissions – UTF-8 字符串数组。

    对资源授予或撤销的权限。

  • PermissionsWithGrantOption – UTF-8 字符串数组。

    指示是否提供授予权限的能力(作为授予的权限的子集)。

ResourcePerperCurterCrror 结构

表示在授予或撤消对资源的权限时出现错误的结构。

字段

  • ResourcePermissions – 一个 ResourcePercount 对象。

    出现错误的资源权限列表。

  • Error – 一个 ErrorDetail 对象。

    与尝试授予或撤消对资源的权限相关的错误。

PrincipalResource 权限结构

向资源授予或撤销的权限。

字段

  • Principal – 一个 DataLakePrincipal 对象。

    要授予或撤销权限的数据湖委托人。

  • Resource – 一个 资源 对象。

    要授予或撤销权限的资源。

  • Permissions – UTF-8 字符串数组。

    对资源授予或撤销的权限。

  • PermissionsWithGrantOption – UTF-8 字符串数组。

    指示是否提供授予权限的能力(作为授予的权限的子集)。

  • AdditionalDetails – 一个 DetailsMap 对象。

    此属性可用于返回任何其他详细信息PrincipalResourcePermissions. 目前只能作为Amazon RAM资源共享 ARN。

DetailsMap 结构

包含要在中返回的其他详细信息的结构AdditionalDetails属性PrincipalResourcePermissions.

如果通过共享目录资源Amazon Resource Access Manager(Amazon RAM),那么就会存在一个相应的Amazon RAM资源共享 ARN。

字段

  • ResourceShare – UTF-8 字符串数组。

    通过共享的目录资源的资源共享 ARNAmazon RAM.

Error Resource 权限 Error 结构

表示在向委托人授予或撤消权限时出现错误的结构。

字段

  • PrincipalResourcePermissions – 一个 主要资源权限 对象。

    要授予或撤销的委托人权限。

  • Error – 一个 ErrorDetail 对象。

    尝试授予或撤消权限的错误消息。

ColumnWildcard 结构

一个通配符对象,由排除的列名或索引的可选列表组成。

字段

  • ExcludedColumnNames – UTF-8 字符串数组。

    排除列名称。将排除具有此名称的任何列。

Batch 权限请求输入结构

批处理操作向委托人授予资源的权限。

字段

  • Id:必需 UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节。

    批处理权限请求条目的唯一标识符。

  • Principal – 一个 DataLakePrincipal 对象。

    要获得许可的委托人。

  • Resource – 一个 资源 对象。

    授予委托人权限的资源。

  • Permissions – UTF-8 字符串数组。

    要授予的权限。

  • PermissionsWithGrantOption – UTF-8 字符串数组。

    指示是否授予了传递权限的选项。

Batch 权限失败输入结构

执行批量授予或批量撤销操作时失败的列表。

字段

PrincipalPermissions 结构

向委托人授予的权限。

字段

  • Principal – 一个 DataLakePrincipal 对象。

    被授予权限的委托人。

  • Permissions – UTF-8 字符串数组。

    向委托人授予的权限。

操作

授予权限操作(Python:grant_permissions)

授予委托人访问数据目录中的元数据和基础数据存储中组织的数据的权限,例如Amazon S3.

有关权限的更多信息,请参阅对元数据和数据的安全性和访问控制.

请求

  • CatalogId – 目录 id 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    数据目录的标识符。默认情况下,账户 ID。数据目录是持久性元数据存储。它包含数据库定义、表定义以及其他用于管理您的控制信息。Amazon Lake Formation环境。

  • Principal:必需 一个 DataLakePrincipal 对象。

    要授予资源权限的委托人。支持的委托人是IAM用户或IAM角色,它们由主体类型和 ARN 定义。

    请注意,如果您使用特定 ARN 定义资源,然后再删除并重新创建具有相同 ARN 的资源,则该资源将保留已授予的权限。

  • Resource:必需 一个 资源 对象。

    向其授予权限的资源。中的 资源Amazon Lake Formation是数据目录、数据库和表。

  • Permissions:必需 一个 UTF-8 字符串数组。

    向委托人授予对资源的权限。Amazon Lake Formation定义了授予和撤销对数据目录中元数据和基础数据存储中组织的数据的访问权限,例如Amazon S3.Lake Formation要求授权每个委托人执行特定任务Lake Formation资源的费用。

  • PermissionsWithGrantOption – UTF-8 字符串数组。

    表示委托人可以传递给其他用户的授予权限的列表。这些权限可能只是在Privileges.

响应

  • 无响应参数。

错误

  • ConcurrentModificationException

  • EntityNotFoundException

  • InvalidInputException

LevkePatumperations 操作(Python:revke_permissions)

撤销委托人访问数据目录中的元数据和基础数据存储中组织的数据的权限,例如Amazon S3.

请求

  • CatalogId – 目录 id 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    数据目录的标识符。默认情况下,账户 ID。数据目录是持久性元数据存储。它包含数据库定义、表定义以及其他用于管理您的控制信息。Amazon Lake Formation环境。

  • Principal:必需 一个 DataLakePrincipal 对象。

    要撤销对资源的权限的委托人。

  • Resource:必需 一个 资源 对象。

    将撤销权限的资源。

  • Permissions:必需 一个 UTF-8 字符串数组。

    撤销了对资源的委托人的权限。有关权限的更多信息,请参阅对元数据和数据的安全性和访问控制.

  • PermissionsWithGrantOption – UTF-8 字符串数组。

    指示要撤消授权选项允许委托人将权限传递给其他委托人的权限列表。

响应

  • 无响应参数。

错误

  • ConcurrentModificationException

  • EntityNotFoundException

  • InvalidInputException

BatchGrant 权限操作(Python:batch_grant_permissions)

向委托人授予权限的 Batch 操作。

请求

  • CatalogId – 目录 id 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    数据目录的标识符。默认情况下,账户 ID。数据目录是持久性元数据存储。它包含数据库定义、表定义以及其他用于管理您的控制信息。Amazon Lake Formation环境。

  • Entries:必需 批处理权限请求输入 对象数组。

    最多 20 个条目的列表,用于通过批处理操作向委托人授予资源权限。

响应

错误

  • InvalidInputException

  • OperationTimeoutException

BatchRevkePatchRevkeEpermissions 操作(Python:batch_revke_permissions)

用于撤销委托人的权限的 Batch 操作。

请求

  • CatalogId – 目录 id 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    数据目录的标识符。默认情况下,账户 ID。数据目录是持久性元数据存储。它包含数据库定义、表定义以及其他用于管理您的控制信息。Amazon Lake Formation环境。

  • Entries:必需 批处理权限请求输入 对象数组。

    最多 20 个条目的列表,用于通过对委托人的批处理操作撤销的资源权限。

响应

错误

  • InvalidInputException

  • OperationTimeoutException

获取路径操作的有效权限 (Python: get_效e_permissions_for_path)

返回Lake Formation对位于中路径的指定表或数据库资源的权限Amazon S3.GetEffectivePermissionsForPath如果目录已加密,则不会返回数据库和表。

请求

  • CatalogId – 目录 id 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    数据目录的标识符。默认情况下,账户 ID。数据目录是持久性元数据存储。它包含数据库定义、表定义以及其他用于管理您的控制信息。Amazon Lake Formation环境。

  • ResourceArn:必需 UTF-8 字符串。

    您要获得权限的资源的 Amazon 资源名称 (ARN)。

  • NextToken – UTF-8 字符串。

    延续标记 (如果这不是检索此列表的第一次调用)。

  • MaxResults – 数字(整数),不小于 1 或大于 1000。

    要返回的最大结果数量。

响应

  • Permissions主要资源权限 对象的数组。

    位于中的路径中的指定表或数据库资源的权限列表Amazon S3.

  • NextToken – UTF-8 字符串。

    延续标记 (如果这不是检索此列表的第一次调用)。

错误

  • InvalidInputException

  • EntityNotFoundException

  • OperationTimeoutException

  • InternalServiceException

ListPermissions Enperations 操作(Python:list_permissions)

返回资源的委托人权限列表,该列表由调用者的权限筛选。例如,如果您被授予 ALTER 权限,则只能看到 ALTER 的委托人权限。

此操作仅返回那些明确授予的权限。

有关权限的更多信息,请参阅对元数据和数据的安全性和访问控制.

请求

  • CatalogId – 目录 id 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    数据目录的标识符。默认情况下,账户 ID。数据目录是持久性元数据存储。它包含数据库定义、表定义以及其他用于管理您的控制信息。Amazon Lake Formation环境。

  • Principal – 一个 DataLakePrincipal 对象。

    指定一个委托人以筛选返回的权限。

  • ResourceType – UTF-8 字符串(有效值:CATALOG | DATABASE | TABLE | DATA_LOCATION | LF_TAG | LF_TAG_POLICY | LF_TAG_POLICY_DATABASE | LF_TAG_POLICY_TABLE)。

    指定资源类型以筛选返回的权限。

  • Resource – 一个 资源 对象。

    您将获得委托人权限列表的资源。

    此操作不支持获取具有列的表的权限。相反,请在表格上调用此操作,然后该操作返回表格和表 w 列。

  • NextToken – UTF-8 字符串。

    延续标记 (如果这不是检索此列表的第一次调用)。

  • MaxResults – 数字(整数),不小于 1 或大于 1000。

    要返回的最大结果数量。

  • IncludeRelated— UTF-8 字符串,长度不少于 1 个字节或超过 5 个字节,与匹配Single-line string pattern.

    表示结果中应包括相关权限。

响应

  • PrincipalResourcePermissions主要资源权限 对象的数组。

    委托人及其对指定委托人和资源类型的资源权限的列表。

  • NextToken – UTF-8 字符串。

    延续标记 (如果这不是检索此列表的第一次调用)。

错误

  • InvalidInputException

  • OperationTimeoutException

  • InternalServiceException