授予数据位置权限(外部帐户) - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予数据位置权限(外部帐户)

按照以下步骤向外部设备授予数据位置权限Amazon账户或组织。

您可以使用 Lake Formation 控制台、API 或Amazon Command Line Interface(Amazon CLI)。

开始前的准备工作

确保满足所有跨账户访问先决条件。有关更多信息,请参阅 跨账户访问先决条件

授予数据位置权限(外部帐户、控制台)

  1. 打开Amazon Lake Formation控制台https://console.aws.amazon.com/lakeformation/. 以数据湖管理员身份登录。

  2. 在导航窗格中,选择数据位置,然后选择Grant.

  3. 授予权限对话框中,选择外部账户瓷砖。

  4. 提供以下信息:

    • 适用于Amazon或者账户 IDAmazon组织 ID,输入有效Amazon帐号、组织 ID 或组织单位 ID。

      Enter在每个身份证之后。

      组织 ID 由 “o-” 组成,后跟 10 到 32 个小写字母或数字。

      组织单位 ID 由 “ou-” 组成,后跟 4 到 32 个小写字母或数字(包含 OU 的根 ID)。此字符串后跟第二个 “-”(连字符)和 8 到 32 个额外的小写字母或数字。

    • 在下存储位置,选择浏览,然后选择 Amazon Simple Storage Service (Amazon S3) 存储位置。该地点必须在 Lake Formation 注册。

    
       “授予权限” 对话框中选中了 “外部帐户” 单选按钮,Amazon已指定帐户,并指定了存储位置。
  5. SelectGRANTABLE.

  6. 选择 Grant(授权)。

要授予数据位置权限(外部帐户),Amazon CLI)

  • 向外部授予权限Amazon账户中,输入类似于下面的命令。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"123456789012","ResourceArn":"s3:arn:aws:s3::retail/transactions/2020q1"}}'

    此命令授予DATA_LOCATION_ACCESS在 Amazon S3 位置上的账户 1111-2222-3333 的授予选项s3://retail/transactions/2020q1,该账户由 1234-5678-9012 账户拥有。

    要授予权限给组织,请输入类似于下面的命令。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{"DataLocation": {"CatalogId":"123456789012","ResourceArn":"s3:arn:aws:s3::retail/transactions/2020q1"}}'

    此命令授予DATA_LOCATION_ACCESS向组织提供赠款选项o-abcdefghijkl在 Amazon S3 位置s3://retail/transactions/2020q1,该账户由 1234-5678-9012 账户拥有。