Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门。本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
授予数据过滤器权限
你可以授予SELECT
、DESCRIBE
和DROP
Lake Formation 对委托人的数据过滤器权限。
起初,只有您可以查看为表创建的数据筛选器。要使另一个委托人能够查看数据筛选器并授予数据目录权限,您必须执行以下任一操作:
你可以授予SELECT
对外部的许可Amazonaccount. 然后,该账户中的数据湖管理员可以将该权限授予账户中的其他委托人。授予外部帐户时,您必须包括授予选项,以便外部账户的管理员可以进一步将权限级联给他/她账户中的其他用户。授予账户中的委托人时,使用授权选项授予权限是可选的。
您可以使用Amazon Lake Formation控制台、API 或Amazon Command Line Interface(Amazon CLI)。
- Console
-
登录到Amazon Web Services Management Console在处打开 Lake Formation 控制台https://console.aws.amazon.com/lakeformation/.
-
在导航窗格中的下,Permissions (权限),选择数据湖权限.
-
在存储库的Permissions (权限)在页面中,数据权限部分中,选择Grant.
-
在存储库的授予数据权限页面中,选择要向其授予权限的委托人。
-
在 LF-Tags 或目录资源部分中,选择命名数据目录资源. 然后选择要授予权限的数据库、表和数据筛选器。
-
在数据筛选权限部分中,选择要授予所选承担者的权限。
- Amazon CLI
-
-
输入grant-permissions
命令。指定DataCellsFilter
(对于 )resource
参数,然后指定DESCRIBE
要么DROP
(对于 )Permissions
参数以及(可选)PermissionsWithGrantOption
参数。
以下示例授予:DESCRIBE
向用户提供授予选项datalake_user1
在数据过滤器上restrict-pharma
,它属于orders
表格中的sales
中的数据库Amazon账户 1111-2222-3333。
aws lakeformation grant-permissions --cli-input-json file://grant-params.json
以下是文件内容grant-params.json
.
{
"Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
"Resource": {
"DataCellsFilter": {
"TableCatalogId": "111122223333",
"DatabaseName": "sales",
"TableName": "orders",
"Name": "restrict-pharma"
}
},
"Permissions": ["DESCRIBE"],
"PermissionsWithGrantOption": ["DESCRIBE"]
}