授予数据位置权限(外部帐户) - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予数据位置权限(外部帐户)

按照以下步骤向外部 AWS 帐户或组织。

您可以使用 Lake Formation 控制台、API或 AWS Command Line Interface (人AWS CLI)。

之前 You和 Begin

确保满足所有跨帐户访问先决条件。有关更多信息,请参阅跨账户访问先决条件

授予数据位置权限(外部帐户、控制台)

  1. 访问 https://console.amazonaws.cn/lakeformation/,打开 AWS Lake Formation 控制台。以数据湖管理员身份登录。

  2. 在导航窗格中,选择 数据位置,然后选择 授予.

  3. 授予权限 对话框中,选择 外部帐户 方块。

  4. 提供以下信息:

    • 对于 AWS帐户ID或AWS组织ID,输入有效 AWS 账号,机构 IDs,或组织单位 IDs.

      输入 每个ID后面。

      组织ID由“o-”和10至32个小写字母或数字组成。

      组织单位ID由“ou-”后跟4到32个小写字母或数字(包含OU的根ID)组成。此字符串后跟第二个“-”破折号和8至32个附加小写字母或数字。

    • 低于 存放位置,选择 浏览,然后选择 Amazon Simple Storage Service (和Amazon S3)存储位置。地点必须注册 Lake Formation.

    
                “授予”权限对话框选择了外部帐户单选按钮、指定的AWS帐户和指定的存储位置。
  5. 选择 可授予.

  6. 选择 授予.

要授予数据位置权限(外部帐户、 AWS CLI)

  • 授予外部权限 AWS 帐户,请输入类似于以下的命令。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"123456789012","ResourceArn":"s3:arn:aws:s3::retail/transactions/2020q1"}}'

    此命令授予 DATA_LOCATION_ACCESS 提供授予选项 1111-2222-3333 在 Amazon S3 位置 s3://retail/transactions/2020q1,由账户所有 1234-5678-9012.

    要向组织授予权限,请输入类似于以下的命令。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{"DataLocation": {"CatalogId":"123456789012","ResourceArn":"s3:arn:aws:s3::retail/transactions/2020q1"}}'

    此命令授予 DATA_LOCATION_ACCESS 授予该组织 o-abcdefghijkl 在 Amazon S3 位置 s3://retail/transactions/2020q1,由账户所有 1234-5678-9012.