授予数据库权限(外部帐户) - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予数据库权限(外部帐户)

按照以下步骤授予 AWS Lake Formation 一个或多个数据库的权限 AWS 帐户、组织或组织单位。通过授予数据库的跨帐户权限,您将自动共享该数据库。

您可以使用 Lake Formation 控制台、API或 AWS Command Line Interface (人AWS CLI)。

之前 You和 Begin

确保满足所有跨帐户访问先决条件。有关更多信息,请参阅跨账户访问先决条件

授予数据库权限(外部帐户、控制台)

  1. 打开 AWS Lake Formation 控制台位于 https://console.amazonaws.cn/lakeformation/,并以具有 AWSLakeFormationCrossAccountManager AWS 托管策略已附加。这是建议数据湖管理员使用的策略之一,但任何用户可以附加此策略以授予跨帐户权限。

  2. 执行下列操作之一:

    • 在导航窗格中,选择 数据权限,然后选择 授予.

    • 在导航窗格中,选择 Databases (数据库)。然后,在 数据库 页面,选择一个数据库,并在 操作 菜单,低于 权限,选择 授予.

    注意

    您可以通过其资源链接授予对数据库的权限。为此,在 数据库 页面,选择资源链接,并在 操作 菜单,选择 对目标授予. 要授予资源链接本身的权限,请参阅 授予资源链接权限.

  3. 授予权限 对话框中,选择 外部帐户 方块。

  4. 提供以下信息:

    • 对于 AWS帐户ID或AWS组织ID,输入一个或多个有效 AWS 账户 IDs,组织 IDs,或组织单位 IDs. 按 输入 每个ID后面。

      组织ID由“o-”和10至32个小写字母或数字组成。

      组织单位ID由“ou-”后跟4到32个小写字母或数字(包含OU的根ID)组成。此字符串后跟第二个“-”破折号和8至32个附加小写字母或数字。

    • 如果 数据库 字段存在,请在 AWS 帐户。

    • 对于 数据库权限,选择要授予的权限,并确保在下 授予权限 被选中。

      通过在权限上选择授予选项,您可以启用外部帐户中的数据湖管理员向外部帐户中的其他主体授予数据库权限。

      您可以授予 Lake Formation 数据库对其他 AWS 帐户。如果数据库定义了位置属性,请确保还向主体授予跨账户数据位置权限。有关更多信息,请参阅授予数据位置权限

    
                在授予权限对话框中,选中外部帐户单选按钮。将提供AWS帐户ID,并选择零售数据库作为在上授予权限的数据库。此时会选择“创建表”权限和“创建表”可授予权限(复选框)。
  5. 选择 授予.

注意

如果您授予 CREATE_TABLEALTER 具有指向已注册位置的位置属性的数据库权限,请确保也向外部帐户授予该位置的数据位置权限。有关更多信息,请参阅授予数据位置权限

授予数据库权限(外部帐户、 AWS CLI)

  • 输入类似于以下示例的命令。

    • 授予 CREATE_TABLE 提供授予选项 retail 到账户 1111-2222-3333.

      aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
    • 授予 ALTER 提供授予选项 issues 到组织 o-abcdefghijkl.

      aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "Database": {"Name":"issues"}}'
注意

如果您授予 CREATE_TABLEALTER 具有指向已注册位置的位置属性的数据库权限,请确保也向外部帐户授予该位置的数据位置权限。有关更多信息,请参阅授予数据位置权限