授予数据位置权限(同一账户) - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予数据位置权限(同一账户)

按照以下步骤向 Amazon 账户中的主体授予数据位置权限。你可以使用 Lake Formation 控制台API、或 Amazon Command Line Interface (Amazon CLI) 来授予权限。

授予数据位置权限(同一账户)
  1. 打开 Amazon Lake Formation 控制台,网址为https://console.aws.amazon.com/lakeformation/。以数据湖管理员或对所需数据位置具有授予权限的主体的身份登录。

  2. 在导航窗格中的权限下,选择数据位置

  3. 选择授予

  4. 授予权限对话框中,确保选中我的账户磁贴。然后提供以下信息:

    • 对于IAM用户和角色,请选择一个或多个委托人。

    • 对于SAML和亚马逊 QuickSight 用户和群组,请为通过亚马逊联合的用户或群组输入一个或多个亚马逊资源名称 (ARNs),或者为亚马逊用户SAML或ARNs群组输入一个或多个亚马逊 QuickSight 资源名称。

      ARN一次输入一个,然后在每个输入后按 Enter ARN。有关如何构造的信息ARNs,请参见Lake Formation 授予和撤销命令 Amazon CLI

    • 对于存储位置,选择浏览,然后选择一个 Amazon Simple Storage Service (Amazon S3) 存储位置。该位置必须在 Lake Formation 中注册。再次选择浏览以添加其他位置。您也可以键入位置,但请确保在位置前面加上 s3://

    • 对于注册账户地点,输入注册地点的 Amazon 账户 ID。这默认为您的账户 ID。在跨账户场景中,接收者账户中的数据湖管理员在向接收者账户中的其他主体授予数据位置权限时,可以在此处指定拥有者账户。

    • (可选)要使所选主体能够授予对所选位置的数据位置权限,请选择可授予

    在“授予权限”对话框中,选择用户 datalake_user 和存储位置 s3://retail/transactions/q119。
  5. 选择授权

要授予数据位置权限(同一个账户, Amazon CLI)
  • 运行 grant-permissions 命令,向主体授予 DATA_LOCATION_ACCESS 权限,并将 Amazon S3 路径指定为资源。

    以下示例向用户 datalake_user1 授予对 s3://retail 的数据位置权限。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail"}}'

    以下示例向 ALLIAMPrincipals 组授予对 s3://retail 的数据位置权限。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "111122223333"}}'