使用 Lake Formation 控制台和 LF-TBAC 方法授予数据目录权限 - Amazon Lake Formation
打开授予权限页面指定委托人指定 LF 标签指定权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Lake Formation 控制台和 LF-TBAC 方法授予数据目录权限

以下步骤说明了如何使用基于 Lake Formation 标签的访问控制 (LF-TBAC) 方法和授予权限Lake Formation 控制台上的页面。本页面分为以下几个部分:

  • 委托人— 用户、角色和Amazon要向其授予权限的帐户。

  • LF-标签或目录资源— 要授予权限的数据库、表或资源链接。

  • Permissions (权限)— 要授予的 Lake Formation 权限。

打开授予权限页面

  1. 打开Amazon Lake Formation控制台https://console.aws.amazon.com/lakeformation/,并以数据湖管理员身份或用户身份登录,该用户已通过 Lf-TBAC 使用授予选项对数据目录资源的 Lake Formation 权限。

  2. 在导航窗格中,选择和。数据权限. 然后选择 。Grant.

指定委托人

委托人部分中,选择委托人类型,然后指定要向其授予权限的承担者。

“承担者” 部分包含以下文本中命名的三个磁贴。每个磁贴都包含一个选项按钮和文本。IAM 用户和角色磁贴处于选中状态,磁贴下方有一个 IAM 用户和角色下拉列表。
IAM 用户和角色

IAM 用户和角色list。

SAML 用户和组

适用于SAML 和 Amazon QuickSight 用户和组中,为通过 SAML 联合的用户或组输入一个或多个亚马逊资源名称 (ARN),或者为 Amazon QuickSight 用户或组输入 ARN。在每个 ARN 之后按 Enter 键。

有关如何构建 ARN 的信息,请参阅Lake Formation 补助金和撤销Amazon CLI命令.

注意

仅 Amazon QuickSight 企业版支持 Lake Formation 与 Amazon QuickSight 的集成。

外部账户

适用于Amazon账户或Amazon组织,输入一个或多个有效Amazon账户 ID。

注意

目前,LF-TBAC 方法支持向Amazon仅限于账户,而不是向组织或组织单位发放。

另请参阅

指定 LF 标签

  1. 确保与 LF 标签匹配的资源已选择。

  2. 选择添加 lf-tag.

  3. 选择 LF-tag 键和值。

    如果选择多个值,则将使用OR运算符。这意味着,如果任何 LF-tag 值与分配给数据目录资源的 LF 标签匹配,则您将获得对该资源的权限。

    LF-Tags 或目录资源部分包含两个水平排列的磁贴,其中每个磁贴都包含一个选项按钮和描述性文本。这些选项包括与 LF-Tags 匹配的资源(推荐)和命名数据目录资源。选择了与 LF-Tags 匹配的资源。磁贴下方是一个关键字段和一个水平排列的值字段。Key 字段包含 “模块”,值字段是包含三个条目的下拉列表:订单、销售和客户。每个条目都有一个关联的复选框。已选中 “客户” 复选框。这两个字段的右侧是 “删除” 按钮。底部是添加 LF-Tag 按钮,表示您可以添加另一行,其中包含 “关键字” 和 “值” 字段以及 “删除” 按钮。

  4. (可选)选择添加 lf-tag再次指定另一个 lf-tag。

    如果您指定了多个 lf-tag,则将使用AND运算符。只有在为 lf-tag 表达式中的每个 LF-Tag 分配了一个匹配的 LF-tag 时,才会向委托人授予对数据目录资源的权限。

指定权限

指定为委托人授予的与匹配数据目录资源的权限。匹配资源是指分配了与授予委托人的 LF-tag 表达式之一匹配的 LF-Tag 表达式的那些资源。

您可以指定要授予对匹配数据库、匹配表或两者的权限。

显示了页面的两个部分。“数据库权限” 部分包含数据库权限和可授权权限的复选框。在 “数据库” 部分下方,“表权限” 部分显示了表权限和可授予权限的复选框。

  1. UNDER数据库权限中,选择要在匹配数据库上授予委托人的数据库权限。

  2. UNDER表权限中,选择要在匹配表上授予委托人的表权限。

  3. 选择 Grant(授权)。