使用授予数据库权限Amazon CLI和名称资源方法 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用授予数据库权限Amazon CLI和名称资源方法

您可以使用命名资源方法和Amazon Command Line Interface(Amazon CLI)。

使用授予数据库权限Amazon CLI

  • 运行grant-permissions命令,并根据授予的权限指定数据库或数据目录作为资源。

    在以下示例中,替换<account-id>带有有效的Amazon账户 ID。

    例 — 授予创建数据库

    此示例授予CREATE_DATABASE给用户datalake_user1. 由于授予此权限的资源是 “数据目录”,因此该命令指定一个空CatalogResource作为结构resource参数。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}'

    例 — 授予在指定数据库中创建表

    下一个示例授予CREATE_TABLE在数据库上retail给用户datalake_user1.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'

    例 — 向外部人员授予Amazon具有授权选项的账户

    下一个示例授予CREATE_TABLE在数据库上使用授予选项retail向外部账户 1111-2222-3333。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'

    例 — 为组织授予权限

    下一个示例授予ALTER在数据库上使用授予选项issues向组织o-abcdefghijkl.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "Database": {"Name":"issues"}}'
注意

授予后CREATE_TABLE要么ALTER在具有指向注册位置的位置属性的数据库上,请务必还将该位置的数据位置权限授予委托人。有关更多信息,请参阅 授予数据位置权限