本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
授予和撤销对数据目录资源的权限
您可以向 Amazon Lake Formation 中的主体授予数据湖权限,以便主体可以创建和管理数据目录资源,并且可以访问基础数据。您可以授予对数据库、表和视图的数据湖权限。授予对表的权限时,您可以限制对特定表列或行的访问权限,从而实现更精细的访问控制。
您可以授予对单个表或视图的权限,也可以通过一次授予操作来授予对数据库中所有表和视图的权限。如果您授予对数据库中所有表的权限,则将隐式授予对数据库的 DESCRIBE 权限。然后,数据库将显示在控制台的数据库页面上,由 GetDatabases API 操作返回。
您可以使用命名资源方法或 Lake Formation 基于标签的访问控制 (LF-TBAC) 方法来授予权限。
您可以向同一 Amazon Web Services 账户中的主体或外部账户或组织授予权限。当您向外部账户或组织授予权限时,将与这些账户或组织共享您拥有的资源。然后,这些账户或组织中的主体可以访问您拥有的数据目录资源和基础数据。
注意
目前,LF-TBAC 方法支持向 IAM 主体、Amazon Web Services 账户、Organizations 和组织单位(OU)授予跨账户权限。
向外部账户或组织授予权限时,您必须包括授予选项。只有外部账户中的数据湖管理员才能访问共享资源,直到管理员向外部账户中的其他主体授予对共享资源的权限。
您可以使用 Amazon Lake Formation 控制台、API 或 Amazon Command Line Interface (Amazon CLI) 来授予数据目录权限。
注意
删除数据目录资源时,与该资源关联的所有权限都将失效。重新创建同名的相同资源将无法恢复 Lake Formation 权限。用户必须重新设置新权限。