授予数据筛选条件权限

您可以向主体授予对数据筛选条件的 SELECT、DESCRIBE 和 DROP Lake Formation 权限。

首先，只有您可以查看为表创建的数据筛选条件。要使其他主体能够查看数据筛选条件并向数据筛选条件授予数据目录权限，您必须执行以下任一操作：

使用授予选项向主体授予对表的 SELECT 权限，然后将数据筛选条件应用于授权。
向主体授予对数据筛选条件的 DESCRIBE 或 DROP 权限。

您可以向外部 Amazon 账户授予SELECT权限。然后，该账户中的数据湖管理员可以将该权限授予给该账户中的其他主体。向外部账户授予权限时，必须包括授予选项，以便外部账户的管理员可以进一步将权限级联到其账户中的其他用户。向账户中的主体授权时，可以使用授予选项进行授权。

您可以使用 Amazon Lake Formation 控制台、API 或 Amazon Command Line Interface (Amazon CLI) 授予和撤消数据筛选器的权限。

Console

登录 Amazon Web Services Management Console 并打开 Lake Formation 控制台，网址为https://console.aws.amazon.com/lakeformation/。
在导航窗格的权限下，选择数据湖权限。
在权限页面的数据权限部分中，选择授予。
在授予数据权限页面上，选择要向其授予权限的主体。
在“LF 标签或目录资源”部分下，选择已命名数据目录资源。然后选择要为其授予权限的数据库、表和数据筛选条件。
在数据筛选条件权限部分中，选择要向所选主体授予的权限。

Amazon CLI

输入 grant-permissions 命令。为 resource 参数指定 DataCellsFilter，并为 Permissions 参数和 PermissionsWithGrantOption 参数（可选）指定 DESCRIBE 或 DROP。

以下示例在 Amazon 账户 1111-2222-3333 中使用授予选项向用户 datalake_user1 授予对数据筛选条件 restrict-pharma 的 DESCRIBE 权限，该筛选条件属于 sales 数据库中的 orders 表。


aws lakeformation grant-permissions --cli-input-json file://grant-params.json

以下是 grant-params.json 文件的内容。


{
    "Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
    "Resource": {
        "DataCellsFilter": {
            "TableCatalogId": "111122223333",
            "DatabaseName": "sales",
            "TableName": "orders",
            "Name": "restrict-pharma"
        }
    },
    "Permissions": ["DESCRIBE"],
    "PermissionsWithGrantOption": ["DESCRIBE"]
}

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

创建数据筛选条件

授予数据筛选条件提供的数据权限