访问共享表的底层数据 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

访问共享表的底层数据

假定Amazon账户 A 与账户 B 共享数据目录表-例如,通过授予SELECT如果账户 B 的表格上有授予选项,为了使账户 B 中的委托人能够读取共享表的基础数据,必须满足以下条件:

  • 账户 B 中的数据湖管理员必须接受该共享。(如果账户 A 和 B 位于同一组织中,或者如果授权是使用基于 Lake Formation 标签的访问控制方法进行的,则没有必要这样做。)

  • 数据湖管理员必须向委托人重新授予 Lake FormationSELECT该账户 A 授予对共享表的权限。

  • 委托人必须对表、包含该表的数据库和账户 A 数据目录具有以下 IAM 权限。

    注意

    在以下 IAM 策略中:

    • Replace<account-id-A>使用Amazon账户 A 的账户 ID

    • Replace<region>具有有效的地区。

    • Replace<database>其中包含共享表的账户 A 中的数据库的名称。

    • Replace<table>使用共享表的名称。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition", "glue:GetDatabase", "glue:GetDatabases" ], "Resource": [ "arn:aws:glue:<region>:<account-id-A>:table/<database>/<table>", "arn:aws:glue:<region>:<account-id-A>:database/<database>", "arn:aws:glue:<region>:<account-id-A>:catalog" ] }, { "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess" ], "Resource": [ "arn:aws:lakeformation:<region>:<account-id-A>:catalog:<account-id-A>" ], "Condition": { "StringEquals": { "lakeformation:GlueARN":"arn:aws:glue:<region>:<account-id-A>:table/<database>/<table>" } } } ] }