本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用Amazon CLI和 LF-TBAC 方法授予数据目录权限
您可以使用Amazon Command Line Interface (Amazon CLI) 和基于 Lake Formation 标签的访问控制 (LF-TBAC) 方法授予对数据目录数据库、表和列的 Lake Formation 权限。
使用 LF-TBAC (Amazon CLI) 授予数据目录权限
-
使用
grant-permissions
命令。以下示例向用户授予 LF-Tag 表达式
module=*
“”(LF-Tag 密钥的所有值module
)datalake_user1
。该用户将拥有对所有匹配数据库的CREATE_TABLE
权限,即已为其分配了带有密钥的 LF-Tagmodule
、任意值的数据库。aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["*"]}]}}'
下一个示例向用户授予 LF-Tag 表达式
(level=director) AND (region=west OR region=south)
“”datalake_user1
。该用户将拥有SELECT
ALTER
、和DROP
权限,对匹配的表(即同时分配了level=director
和(region=west
或region=south
)的表的授予选项。aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" "DROP" --permissions-with-grant-option "SELECT" "ALTER" "DROP" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"TABLE","Expression": [{"TagKey": "level","TagValues": ["director"]},{"TagKey": "region","TagValues": ["west", "south"]}]}}'
下一个示例向Amazon账户 1234-5678-9012 授予 LF-Tag 表达式
module=orders
“”。然后,该账户中的数据湖管理员可以向其账户中的委托人授予表达。module=orders
然后,这些委托人将获得使用命名资源方法或 LF-TBAC 方法匹配账户 1111-2222-3333 拥有并与账户 1234-5678-9012 共享的数据库的CREATE_TABLE
权限。aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["orders"]}]}}'