授予和撤销对数据目录资源的权限 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予和撤销对数据目录资源的权限

您可以在中向委托人授予数据目录权限Amazon Lake Formation以便委托人可以创建和管理数据目录资源,并可以访问底层数据。

您可以授予对元数据库和元数据表的 Data Catalog 权限。当您授予对表的权限时,可以限制对特定表列的访问权限,以实现更精细的访问控制。

您可以授予对单个表的权限,也可以通过单个授予操作授予对数据库中所有表的权限。如果您授予对数据库中所有表的权限,则隐式授予DESCRIBE对数据库的权限。然后,数据库将显示在数据库主机上的页面,并由GetDatabasesAPI 操作。

您可以使用命名的资源访问控制方法或基于 Lake Formation 标记的访问控制 (LF-TBAC) 方法授予权限。

您可以同样向委托人授予权限Amazon账户或外部账户或组织。当您授予外部帐户或组织时,您将与这些帐户或组织共享自己拥有的资源。然后,这些账户或组织中的委托人可以访问您拥有的数据目录资源和基础数据。

注意

目前,LF-TBAC 方法支持向Amazon仅限于账户,而不是向组织或组织单位发放。

向外部帐户或组织授予权限时,必须包括授予选项。只有外部账户中的数据湖管理员才能访问共享资源,直到管理员将共享资源的权限授予外部账户中的其他承担者。

您可以使用Amazon Lake Formation控制台、API 或Amazon Command Line Interface(Amazon CLI)。