使用命名资源方法授予目录权限
以下步骤说明如何使用命名资源方法授予目录权限。
- Console
-
使用 Lake Formation 控制台上的授予权限页面。该页面分为以下几个部分:
主体类型:您可以向特定主体授予权限或使用属性标签。
-
主体:授予权限的 IAM 用户、角色、IAM Identity Center 用户和组、SAML 用户和组、Amazon 账户、组织或组织单元。
按属性划分的主体:从 IAMroles 或 IAM 会话标签中添加标签键值对。具有匹配属性的主体会获得指定资源的访问权限。
-
LF 标签或目录资源:要对其授予权限的目录、数据库、表、视图或资源链接。
-
权限:要授予的 Lake Formation 权限。
-
注意
要授予对数据库资源链接的权限,请参阅授予资源链接权限。
打开授予权限页面。
通过 https://console.aws.amazon.com/lakeformation/
打开 Amazon Lake Formation 控制台,然后以数据湖管理员、目录创建者或对目录具有可授予的权限的 IAM 用户身份登录。 请执行以下操作之一:
-
在导航窗格的权限下,选择数据权限。然后选择授予。
-
在导航窗格的 Data Catalog 下,选择目录。然后,在目录页面上选择一个目录,并在操作菜单的权限下选择授予。
注意
您可以通过目录的资源链接授予对目录的权限。为此,在目录页面上选择一个目录链接容器,然后在操作菜单上选择对目标授予。有关更多信息,请参阅资源链接在 Lake Formation 中的工作原理。
-
-
接下来,在主体类型部分,选择主体或指定附加到主体的属性。
指定主体。
- IAM 用户和角色
-
从 IAM 用户和角色列表中选择一个或多个用户或角色。
- IAM Identity Center 验证
-
从用户和组列表中选择一个或多个用户或组。选择添加以添加更多用户或组。
- SAML 用户和组
-
对于 SAML 和 Quick Suite 用户和组,为通过 SAML 联合的用户或组输入一个或多个 Amazon 资源名称(ARN),或者为 Amazon Quick Suite 用户或组输入 ARN。在每个 ARN 后按 Enter。
有关如何构建 ARN 的信息,请参阅 Lake Formation 授予和撤销 Amazon CLI 命令。
注意
只有 Quick Suite 企业版支持 Lake Formation 与 Quick Suite 的集成。
- 外部账户
-
对于 Amazon Web Services 账户、Amazon Organizations 或 IAM 主体,为 IAM 用户或角色输入一个或多个有效的 Amazon 账户 ID、组织 ID、组织单元 ID 或 ARN。在每个 ID 后按 Enter。
组织 ID 由“o-”后跟 10 到 32 个小写字母或数字组成。
单位 ID 以“ou-”开头,后跟 4 到 32 个小写字母或数字(包含 OU 的根的 ID)。该字符串后跟第二个“-”短横线和 8 到 32 个额外的小写字母或数字。
按属性划分的主体
- 属性
从 IAM 角色添加 IAM 标签键值对。
- 权限范围
请指定您是向同一账户具有匹配属性的主体,还是向另一账户中具有匹配属性的主体授予权限。
-
在 LF 标签或目录资源部分下,选择已命名数据目录资源。
-
从目录列表中选择一个或多个目录。您还可以选择一个或多个数据库、表和/或数据筛选条件。
-
在目录权限部分,选择权限和可授予的权限。在目录权限下,选择要授予的一项或多项权限。
选择超级用户可授予不受限制的管理权限,以便对目录中的所有资源(数据库、表和视图)执行操作。
注意
在对具有指向注册位置的位置属性的目录授予
Create database或Alter权限后,请确保还向主体授予对该位置的数据位置权限。有关更多信息,请参阅授予数据位置权限。 -
(可选)在可授予的权限下,选择授予接收人可以向其 Amazon 账户中的其他主体授予的权限。当您从外部账户向 IAM 主体授予权限时,不支持此选项。
-
选择授予。
数据权限页面显示权限详细信息。如果您使用按属性划分的主体选项来授予权限,则可以在列表中查看授予给
ALLPrincipals的权限。
- Amazon CLI
-
有关使用 Amazon CLI 授予目录权限的信息,请参阅创建 Amazon Redshift 联合目录。