授予数据位置权限(同一帐户) - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予数据位置权限(同一帐户)

按照以下步骤将数据位置权限授予您 AWS 帐户。您可以使用 Lake Formation 控制台、API或 AWS Command Line Interface (人AWS CLI)。

授予数据位置权限(同一帐户、控制台)

  1. 访问 https://console.amazonaws.cn/lakeformation/,打开 AWS Lake Formation 控制台。以数据湖管理员或授予所需数据位置权限的主体身份登录。

  2. 在导航窗格中,选择 数据位置.

  3. 选择 授予.

  4. 授予权限 对话框,确保 我的帐户 平铺被选中。然后提供以下信息:

    • 对于 IAM用户和角色,请选择一个或多个主体。

    • 对于 SAML和亚马逊 QuickSight 用户和组,输入一个或多个Amazon资源名称(ARN) users or groups federated through SAML 或 ARNs 为 Amazon QuickSight 用户或组。

      一次输入一个ARN,然后按 输入 之后。有关如何构建 ARNs,请参阅 Lake Formation 授予和撤销 AWS CLI 命令.

    • 对于 存放位置,选择 浏览,然后选择 Amazon Simple Storage Service (人Amazon S3)存储位置。地点必须注册 Lake Formation. 选择 浏览 再次添加另一个位置。

    • 对于 注册帐户位置,输入 AWS 位置已注册的帐户ID。这默认为您的帐户ID。在跨账户场景中,接收方账户中的数据湖管理员可以在向接收方账户中的其他主体授予数据定位权限时在此处指定拥有账户。

    • (可选)要使选定的主体能够在选定位置授予数据位置权限,请选择 可授予.

    
                在授予权限对话框中,选中用户datalake_user和存储位置s3://retail/transactions/q119。
  5. 选择 授予.

授予数据位置权限(同一帐户、 AWS CLI)

  • 运行 grant-permissions 命令,并授予 DATA_LOCATION_ACCESS 承运人,指明 Amazon S3 路径作为资源。

    以下示例授予数据位置权限 s3://retail 到用户 datalake_user1.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail"}}'