本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 授予对数据目录资源的权限 您可以向中的委托人授予**数据权限**, Amazon Lake Formation 以便委托人可以创建和管理数据目录资源,并可以访问基础数据。您可以授予对目录、数据库、表和视图的**数据湖权限**。授予对表的权限时,您可以限制对特定表列或行的访问权限,从而实现更精细的访问控制。 您可以授予对单个目录、数据库、表或视图的权限,也可以通过一次授予操作来授予对目录或数据库中所有数据库、表和视图的权限。如果您向 IAM 主体授予对数据库中所有表的权限,则将隐式授予对数据库的 `DESCRIBE` 权限。然后,数据库将显示在控制台的**数据库**页面上,由 `GetDatabases` API 操作返回。同样的原则也适用于目录级别,当您获得目录中数据库的权限时,您也将获得该目录的 `DESCRIBE` 权限。 **重要** 隐式`DESCRIBE`权限仅在向同一 Amazon 账户中的 IAM 委托人授予权限时适用。对于跨账户资源,必须明确授予 `DESCRIBE` 权限。使用基于属性的访问权限控制(ABAC)时,自动 `DESCRIBE` 权限授予不适用。使用属性对数据库中所有表授予权限时,Lake Formation 不会向数据库隐式授予 `DESCRIBE` 权限。 您可以使用命名资源方法或 Lake Formation 基于标签的访问控制 (LF-TBAC) 方法来授予权限。 您可以向同一账户中的委托人或外部账户 Amazon Web Services 账户 或组织授予权限。当您向外部账户或组织授予权限时,将与这些账户或组织共享您拥有的 Data Catalog 对象。然后,这些账户或组织中的主体可以访问您拥有的 Data Catalog 对象和基础数据。 **注意** 目前,LF-TBAC 方法支持向 IAM 委托人 Amazon Web Services 账户、组织和组织单位 () 授予跨账户权限。OUs 向外部账户或组织授予权限时,您必须包括授予选项。只有外部账户中的数据湖管理员才能访问共享对象,直到管理员向外部账户中的其他主体授予对共享对象的权限。 您可以使用 Amazon Lake Formation 控制台、API 或 Amazon Command Line Interface (Amazon CLI) 授予数据目录权限。 **注意** 删除 Data Catalog 对象时,与该对象关联的所有权限都将失效。重新创建同名的相同资源将无法恢复 Lake Formation 权限。用户必须重新设置新权限。 **另请参阅:** [跨 Amazon 账户共享数据目录表和数据库](sharing-catalog-resources.md) [元数据访问控制](access-control-metadata.md) [Lake Formation 权限参考](lf-permissions-reference.md)