授予数据过滤器提供的数据权限 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予数据过滤器提供的数据权限

数据筛选器表示表中数据的子集。要向委托人提供数据访问权限,SELECT需要向这些委托人授予权限。有了这个权限,委托人可以:

  • 在与其账户共享的表列表中查看实际表名称。

  • 在共享表上创建数据筛选器,并向其用户授予对这些数据筛选器的权限。

Console

授予 SELECT 权限

  1. 转至Permissions (权限)在 Lake Formation 控制台中的页面,然后选择Grant.

    
                  图像是控制台中权限页面首页的屏幕截图。在 “数据权限” 部分中,将突出显示 “授予” 按钮。
  2. 选择要提供访问权限的承担者,然后选择命名数据目录资源.

    
                  图像是控制台中权限页面的屏幕截图。此时将显示 “LF 标签或目录资源” 部分,并选择了 “命名数据目录资源” 选项。在数据库下,提供了一个值:cloudtrail. 对于表格,提供了一个值:cloud rail-logs-aws_log。对于数据过滤器,提供了一个值:cloud rail_lakeformation_filter。
  3. 要提供对筛选器所表示的数据的访问权限,请选择Select数据筛选权限.

    
                  图像是控制台中权限页面首页的屏幕截图。在 “数据过滤器权限” 部分中,SELECT选项已选中。这些区域有:DESCRIBE和DROP未选择选项。在 “授予权限” 部分中,没有选择任何选项(选择、描述、删除)。屏幕截图底部有一条信息性消息,显示 “选择数据过滤器的权限将授予对表 'cloud rail_logs_awsLOG” 的访问权限。”
CLI

输入grant-permissions命令。指定DataCellsFilter对于资源参数,然后指定SELECT对于权限参数。

以下示例授予:SELECT向用户提供授予选项datalake_user1在数据过滤器上restrict-pharma,它属于orders表格中的sales中的数据库Amazon Web Services 账户 1111-2222-3333.

aws lakeformation grant-permissions --cli-input-json file://grant-params.json

以下是文件内容grant-params.json.

{ "Principal": { "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1" }, "Resource": { "DataCellsFilter": { "TableCatalogId": "111122223333", "DatabaseName": "sales", "TableName": "orders", "Name": "restrict-pharma" } }, "Permissions": ["SELECT"] }