授予和撤销 Lake Formation 中的数据目录权限 - Amazon Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予和撤销 Lake Formation 中的数据目录权限

您可以将数据目录权限授予Amazon Lake Formation,以便承担者可以创建和管理数据目录资源,并可以访问基础数据。

您可以授予对元数据库和元数据表的 “数据目录” 权限。授予对表的权限时,您可以限制对特定表列的访问,以实现更精细的访问控制。

您可以授予对单个表的权限,也可以通过单个授权操作授予对数据库中所有表的权限。如果授予对数据库中所有表的权限,则会隐式授予DESCRIBE权限。然后,数据库将显示在数据库页面,并且由GetDatabasesAPI 操作。

您可以使用命名的资源访问控制方法或基于标记的访问控制 (TBAC) 方法授予权限。

您可以将权限授予同一Amazon帐户或外部帐户或组织。授予外部帐户或组织时,您将与这些帐户或组织共享您拥有的资源。然后,这些帐户或组织中的承担者可以访问您拥有的数据目录资源和基础数据。

注意

目前,TBAC 方法支持向Amazon帐户,而不是组织或组织单位。

向外部帐户或组织授予权限时,必须包含授权选项。只有外部帐户中的数据湖管理员才能访问共享资源,直到管理员将共享资源的权限授予外部帐户中的其他委托人。

您可以通过使用Amazon Lake Formation控制台、API 或Amazon Command Line Interface(Amazon CLI)。