本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 向用户和组授予权限 您的数据湖管理员可以向 IAM Identity Center 用户和组授予对数据目录资源(数据库、表和视图)的权限,以便轻松访问数据。要授予或撤销数据湖权限,授予者需要具有执行以下 IAM Identity Center 操作的权限。 + [DescribeUser](https://docs.amazonaws.cn/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html) + [DescribeGroup](https://docs.amazonaws.cn/singlesignon/latest/IdentityStoreAPIReference/API_DescribeGroup.html) + [DescribeInstance](https://docs.amazonaws.cn/singlesignon/latest/APIReference/API_DescribeInstance.html) 您可以使用 Lake Formation 控制台、API 或 Amazon CLI来授予权限。 有关授予权限的更多信息,请参阅[授予对数据目录资源的权限](granting-catalog-permissions.md)。 **注意** 您只能授予对账户中资源的权限。要将权限级联到用户和群组对与您共享的资源,您必须使用 Amazon RAM 资源共享。 ------ #### [ Amazon Web Services 管理控制台 ] **向用户和组授予权限** 1. 登录并打开 Lake Amazon Web Services 管理控制台 Formation 控制台,网址为[https://console.aws.amazon.com/lakeformation/](https://console.amazonaws.cn/lakeformation/)。 1. 在 Lake Formation 控制台的**权限**下,选择**数据湖权限**。 1. 选择**授予**。 1. 在**授予数据湖权限**页面上,选择 **IAM Identity Center** 用户和组。 1. 选择**添加**以选择要授予权限的用户和组。 ![\[选中 IAM Identity Center 用户和组的“授予数据湖权限”屏幕。\]](http://docs.amazonaws.cn/lake-formation/latest/dg/images/identity-center-grant-perm.png) 1. 在 “**分配用户和群组**” 屏幕上,选择要授予权限的用户 and/or 组。 选择**分配**。 ![\[选中 IAM Identity Center 用户和组的“授予数据湖权限”屏幕。\]](http://docs.amazonaws.cn/lake-formation/latest/dg/images/identity-center-assign-users-groups.png) 1. 接下来,选择授予权限的方法。 有关使用命名资源方法授予权限的说明,请参阅[使用命名资源方法授予数据权限](granting-cat-perms-named-resource.md)。 有关使用 LF 标签授予权限的说明,请参阅[使用 LF-TBAC 方法授予数据湖权限](granting-catalog-perms-TBAC.md)。 1. 选择要授予其权限的数据目录资源。 1. 选择要授予的数据目录权限。 1. 选择**授予**。 ------ #### [ Amazon CLI ] 以下示例演示如何向 IAM Identity Center 用户授予对表的 `SELECT` 权限。 ``` aws lakeformation grant-permissions \ --principal DataLakePrincipalIdentifier=arn:aws:identitystore:::user/ \ --permissions "SELECT" \ --resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }' ``` 要`UserId`从 IAM 身份中心检索,请参阅 IAM 身份中心 API 参考中的[GetUserId](https://docs.amazonaws.cn/singlesignon/latest/IdentityStoreAPIReference/API_GetUserId.html)操作。 ------