授予数据位置权限(同一账户) - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予数据位置权限(同一账户)

按照以下步骤向 Amazon 账户中的主体授予数据位置权限。您可以使用 Lake Formation 控制台、API 或 Amazon Command Line Interface (Amazon CLI) 授予权限。

授予数据位置权限(同一账户)
  1. 通过 https://console.aws.amazon.com/lakeformation/ 打开 Amazon Lake Formation 控制台。以数据湖管理员或对所需数据位置具有授予权限的主体的身份登录。

  2. 在导航窗格中,选择数据位置

  3. 选择授予

  4. 授予权限对话框中,确保选中我的账户磁贴。然后提供以下信息:

    • 对于 IAM 用户和角色,请选择一个或多个主体。

    • 对于 SAML 和 Amazon QuickSight 用户和组,为通过 SAML 联合的用户或组输入一个或多个 Amazon 资源名称 (ARN),或者为 Amazon QuickSight 用户或组输入 ARN。

      一次输入一个 ARN,然后在每个 ARN 后按 Enter。有关如何构建 ARN 的信息,请参阅 Lake Formation 授予和撤销 Amazon CLI 命令

    • 对于存储位置,选择浏览,然后选择一个 Amazon Simple Storage Service (Amazon S3) 存储位置。该位置必须在 Lake Formation 中注册。再次选择浏览以添加其他位置。您也可以键入位置,但请确保在位置前面加上 s3://

    • 对于注册的账户位置,输入注册该位置的 Amazon 账户 ID。这默认为您的账户 ID。在跨账户场景中,接收者账户中的数据湖管理员在向接收者账户中的其他主体授予数据位置权限时,可以在此处指定拥有者账户。

    • (可选)要使所选主体能够授予对所选位置的数据位置权限,请选择可授予

    
       在“授予权限”对话框中,选择用户 datalake_user 和存储位置 s3://retail/transactions/q119。
  5. 选择授权

授予数据位置权限(同一账户,使用 Amazon CLI)
  • 运行 grant-permissions 命令,向主体授予 DATA_LOCATION_ACCESS 权限,并将 Amazon S3 路径指定为资源。

    以下示例向用户 datalake_user1 授予对 s3://retail 的数据位置权限。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail"}}'

    以下示例向 ALLIAMPrincipals 组授予对 s3://retail 的数据位置权限。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "111122223333"}}'