向用户和组授予权限 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

向用户和组授予权限

您的数据湖管理员可以向 IAM Identity Center 用户和组授予对数据目录资源(数据库、表和视图)的权限,以便轻松访问数据。要授予或撤销数据湖权限,授予者需要具有执行以下 IAM Identity Center 操作的权限。

您可以使用 Lake Formation 控制台、API 或 Amazon CLI 来授予权限。

有关授予权限的更多信息,请参阅授予对数据目录资源的权限

注意

您只能授予对账户中资源的权限。要向用户和组级联对与您共享的资源的权限,您必须使用 Amazon RAM 资源共享。

Amazon Web Services Management Console
向用户和组授予权限
  1. 登录 Amazon Web Services Management Console 并打开 Lake Formation 控制台 (https://console.aws.amazon.com/lakeformation/)。

  2. 在 Lake Formation 控制台的权限下,选择数据湖权限

  3. 选择授予

  4. 授予数据湖权限页面上,选择 SSM 用户和组。

  5. 选择添加以选择要授予权限的用户和组。

    选中 IAM Identity Center 用户和组的“授予数据湖权限”屏幕。
  6. 分配用户和组屏幕上,选择要授予权限的用户和/或组。

    选择分配

    选中 IAM Identity Center 用户和组的“授予数据湖权限”屏幕。
  7. 接下来,选择授予权限的方法。

    有关使用命名资源方法授予权限的说明,请参阅使用命名资源方法授予数据湖权限

    有关使用 LF 标签授予权限的说明,请参阅使用 LF-TBAC 方法授予数据湖权限

  8. 选择要授予其权限的数据目录资源。

  9. 选择要授予的数据目录权限。

  10. 选择授予

Amazon CLI

以下示例演示如何向 IAM Identity Center 用户授予对表的 SELECT 权限。

aws lakeformation grant-permissions \ --principal DataLakePrincipalIdentifier=arn:aws:identitystore:::user/<UserId> \ --permissions "SELECT" \ --resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'

要从 IAM Identity Center 检索 UserId,请参阅 IAM Identity Center API 参考中的 GetUserId 操作。