授予数据过滤器权限 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予数据过滤器权限

你可以授予SELECTDESCRIBEDROPLake Formation 对委托人的数据过滤器权限。

起初,只有您可以查看为表创建的数据筛选器。要使另一个委托人能够查看数据筛选器并授予数据目录权限,您必须执行以下任一操作:

  • GrantSELECT在带有授权选项的委托人的表格上,然后将数据筛选器应用于授权。

  • 授予DESCRIBE要么DROP向委托人授予数据筛选权限。

你可以授予SELECT对外部的许可Amazonaccount. 然后,该账户中的数据湖管理员可以将该权限授予账户中的其他委托人。授予外部帐户时,您必须包括授予选项,以便外部账户的管理员可以进一步将权限级联给他/她账户中的其他用户。授予账户中的委托人时,使用授权选项授予权限是可选的。

您可以使用Amazon Lake Formation控制台、API 或Amazon Command Line Interface(Amazon CLI)。

Console

  1. 登录到Amazon Web Services Management Console在处打开 Lake Formation 控制台https://console.aws.amazon.com/lakeformation/.

  2. 在导航窗格中的下,Permissions (权限),选择数据湖权限.

  3. 在存储库的Permissions (权限)在页面中,数据权限部分中,选择Grant.

  4. 在存储库的授予数据权限页面中,选择要向其授予权限的委托人。

  5. 在 LF-Tags 或目录资源部分中,选择命名数据目录资源. 然后选择要授予权限的数据库、表和数据筛选器。

    图像是控制台中权限页面的屏幕截图。此时将显示 “LF 标签或目录资源” 部分,并选择了 “命名数据目录资源” 选项。在数据库下,提供了一个值:cloudtrail. 对于表格,提供了一个值:cloudtrail-logs-aws_logs. 对于数据过滤器,提供了一个值:cloudtrail_lakeformation_filter.

  6. 数据筛选权限部分中,选择要授予所选承担者的权限。

    图像是 Lake Formation 控制台中 “权限” 页面上 “数据筛选器权限” 部分的屏幕截图。对于 “数据筛选器权限”,未选择 “选择” 权限,并选择 “描述和删除” 权限。在 “授予权限” 下,没有选择任何权限(选择、描述、删除)。
Amazon CLI

  • 输入grant-permissions命令。指定DataCellsFilter(对于 )resource参数,然后指定DESCRIBE要么DROP(对于 )Permissions参数以及(可选)PermissionsWithGrantOption参数。

    以下示例授予:DESCRIBE向用户提供授予选项datalake_user1在数据过滤器上restrict-pharma,它属于orders表格中的sales中的数据库Amazon账户 1111-2222-3333。

    aws lakeformation grant-permissions --cli-input-json file://grant-params.json

    以下是文件内容grant-params.json.

    {
    "Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
    "Resource": {
        "DataCellsFilter": {
            "TableCatalogId": "111122223333",
            "DatabaseName": "sales",
            "TableName": "orders",
            "Name": "restrict-pharma"
        }
    },
    "Permissions": ["DESCRIBE"],
    "PermissionsWithGrantOption": ["DESCRIBE"]
}