本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用命名的资源方法授予目录权限
以下步骤说明了如何使用命名的资源方法授予目录权限。
- Console
-
使用 Lake Formation 控制台上的 “授予权限” 页面。该页面分为以下几个部分:
委托人类型-您可以向特定委托人授予权限或使用属性标签。
-
主体 – 授予权限的 IAM 用户、角色、IAM Identity Center 用户和组、SAML 用户和组、 Amazon 账户、Organizations 或组织单位。
按属性划分的委托人 — 添加来自 IAMroles 或 IAM 会话标签的标签键值对。具有匹配属性的委托人可以访问指定资源。
-
LF-tags 或目录资源-要授予权限的目录、数据库、表、视图或资源链接。
-
权限 – 要授予的 Lake Formation 权限。
-
注意
要授予对数据库资源链接的权限,请参阅授予资源链接权限。
打开 “授予权限” 页面。
在打开 Amazon Lake Formation 控制台 https://console.aws.amazon.com/lakeformation/
,然后以数据湖管理员、目录创建者或对目录拥有可授予权限的 IAM 用户身份登录。 请执行以下操作之一:
-
在导航窗格的权限下,选择数据权限。然后选择授予。
-
在导航窗格中,选择数据目录下的目录。然后,在 “目录” 页面上,选择一个目录,然后从 “操作” 菜单的 “权限” 下选择 “授予”。
注意
您可以通过目录的资源链接授予对目录的权限。为此,请在 “目录” 页面上选择目录链接容器,然后在 “操作” 菜单上选择 “在目标上授予”。有关更多信息,请参阅 资源链接在 Lake Formation 中的工作原理。
-
-
接下来,在主体类型部分,选择主体或指定附加到承担者的属性。
指定委托人
- IAM 用户和角色
-
从 IAM 用户和角色列表中选择一个或多个用户或角色。
- IAM Identity Center
-
从用户和组列表中选择一个或多个用户或组。选择添加以添加更多用户或组。
- SAML 用户和组
-
对于 SAML 以及 QuickSight 用户和群组,请为通过 SAML 联合的用户或群组或亚马逊用户或群组输入一个或多个 ARNs Ama QuickSight zon 资源名称 (ARNs)。在每个 ARN 后按 Enter。
有关如何构造的信息 ARNs,请参见Lake Formation 授予和撤销命令 Amazon CLI。
注意
只有 QuickSight 企业版支持与 Lak QuickSight e Formation 集成。
- 外部账户
-
对于Amazon Web Services 账户 Amazon 组织或 IAM 委托人,请为 IAM 用户或角色输入一个或多个有效的 Amazon 账户 IDs IDs IDs、组织、组织单位或 ARN。在每个 ID 后按 Enter。
组织 ID 由“o-”后跟 10 到 32 个小写字母或数字组成。
单位 ID 以“ou-”开头,后跟 4 到 32 个小写字母或数字(包含 OU 的根的 ID)。该字符串后跟第二个“-”短横线和 8 到 32 个额外的小写字母或数字。
按属性划分的校长
- Attributes
添加来自 IAM 角色的 IAM 标签键值对。
- 权限范围
请指定您是在向同一账户或其他账户中具有匹配属性的委托人授予权限。
-
在 LF 标签或目录资源部分下,选择已命名数据目录资源。
-
从 “目录” 列表中选择一个或多个目录。您也可以选择一个或多个数据库、表和/或数据筛选器。
-
在目录权限部分,选择权限和可授予权限。在目录权限下,选择一个或多个要授予的权限。
选择 Super user 可授予不受限制的管理权限,以便对目录中的所有资源(数据库、表和视图)执行任何操作。
注意
在
Alter对具有指向注册位置的位置属性的目录授予Create database或之后,请务必同时向委托人授予该位置的数据定位权限。有关更多信息,请参阅 授予数据位置权限。 -
(可选)在可授予的权限下,选择授予接收人可以向其 Amazon 账户中的其他主体授予的权限。当您从外部账户向 IAM 主体授予权限时,不支持此选项。
-
选择授予。
数据权限页面显示权限详细信息。如果您使用按属性划分的委托人选项来授予权限,则可以在列表
ALLPrincipals中查看授予的权限。
- Amazon CLI
-
有关使用授予目录权限的信息 Amazon CLI,请参阅创建亚马逊 Redshift 联合目录。