使用Amazon CLI和 LF-TBAC 方法授予数据目录权限 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用Amazon CLI和 LF-TBAC 方法授予数据目录权限

您可以使用Amazon Command Line Interface (Amazon CLI) 和基于 Lake Formation 标签的访问控制 (LF-TBAC) 方法授予对数据目录数据库、表和列的 Lake Formation 权限。

使用 LF-TBAC (Amazon CLI) 授予数据目录权限
  • 使用 grant-permissions 命令。

    以下示例向用户授予 LF-Tag 表达式module=* “”(LF-Tag 密钥的所有值moduledatalake_user1。该用户将拥有对所有匹配数据库的CREATE_TABLE权限,即已为其分配了带有密钥的 LF-Tagmodule、任意值的数据库。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["*"]}]}}'

    下一个示例向用户授予 LF-Tag 表达式(level=director) AND (region=west OR region=south) “”datalake_user1。该用户将拥有SELECTALTER、和DROP权限,对匹配的表(即同时分配了level=director和(region=westregion=south)的表的授予选项。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" "DROP" --permissions-with-grant-option "SELECT" "ALTER" "DROP" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"TABLE","Expression": [{"TagKey": "level","TagValues": ["director"]},{"TagKey": "region","TagValues": ["west", "south"]}]}}'

    下一个示例向Amazon账户 1234-5678-9012 授予 LF-Tag 表达式module=orders “”。然后,该账户中的数据湖管理员可以向其账户中的委托人授予表达。module=orders然后,这些委托人将获得使用命名资源方法或 LF-TBAC 方法匹配账户 1111-2222-3333 拥有并与账户 1234-5678-9012 共享的数据库的CREATE_TABLE权限。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["orders"]}]}}'