本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用命名资源方法授予目录权限 使用命名资源方法授予目录权限 以下步骤说明如何使用命名资源方法授予目录权限。 ------ #### [ Console ] 使用 Lake Formation 控制台上的**授予权限**页面。该页面分为以下几个部分: + **主体类型**:您可以向特定主体授予权限或使用属性标签。 + **主体**:授予权限的 IAM 用户、角色、IAM Identity Center 用户和组、SAML 用户和组、 Amazon 账户、组织或组织单元。 **按属性划分的委托人** — 添加来自 IAMroles 或 IAM 会话标签的标签键值对。具有匹配属性的主体会获得指定资源的访问权限。 + **LF 标签或目录资源**:要对其授予权限的目录、数据库、表、视图或资源链接。 + **权限** – 要授予的 Lake Formation 权限。 **注意** 要授予对数据库资源链接的权限,请参阅[授予资源链接权限](granting-link-permissions.md)。 1. 打开**授予权限**页面。 在打开 Amazon Lake Formation 控制台 [https://console.aws.amazon.com/lakeformation/](https://console.amazonaws.cn/lakeformation/),然后以数据湖管理员、目录创建者或对目录拥有**可授予权限**的 IAM 用户身份登录。 请执行以下操作之一: + 在导航窗格的**权限**下,选择**数据权限**。然后选择**授予**。 + 在导航窗格的 **Data Catalog** 下,选择**目录**。然后,在**目录**页面上选择一个目录,并在**操作**菜单的**权限**下选择**授予**。 **注意** 您可以通过目录的资源链接授予对目录的权限。为此,在**目录**页面上选择一个目录链接容器,然后在**操作**菜单上选择**对目标授予**。有关更多信息,请参阅 [资源链接在 Lake Formation 中的工作原理](resource-links-about.md)。 1. 接下来,在**主体类型**部分,选择主体或指定附加到主体的属性。 ![\[主体类型部分包含两个水平排列的磁贴,其中每个磁贴都包含一个选项按钮和描述性文本。选项是主体和按属性划分的主体。标题下方是主体。\]](http://docs.amazonaws.cn/lake-formation/latest/dg/images/grant-catalog-principal-type.png) ****指定委托人**** **IAM 用户和角色** 从 **IAM 用户和角色**列表中选择一个或多个用户或角色。 **IAM Identity Center** 从**用户和组**列表中选择一个或多个用户或组。选择**添加**以添加更多用户或组。 **SAML 用户和组** 对于 **SAML 和 Quick 用户和群组**,请为通过 SAML 联合的用户或群组或 Amazon Quick 用户或群组输入一个或多个 ARNs Amazon 资源名称 (ARNs)。在每个 ARN 后按 Enter。 有关如何构造的信息 ARNs,请参见[Lake Formation 授予和撤销命令 Amazon CLI](lf-permissions-reference.md#perm-command-format)。 只有 Quick 企业版支持 Lake Formation 与 Quick 集成。 **外部账户** 对于**Amazon Web Services 账户 Amazon 组织**或 **IAM 委托人**,请为 IAM 用户或角色输入一个或多个有效的 Amazon 账户 IDs IDs IDs、组织、组织单位或 ARN。在每个 ID 后按 **Enter**。 组织 ID 由“o-”后跟 10 到 32 个小写字母或数字组成。 单位 ID 以“ou-”开头,后跟 4 到 32 个小写字母或数字(包含 OU 的根的 ID)。该字符串后跟第二个“-”短横线和 8 到 32 个额外的小写字母或数字。 ****按属性划分的主体**** **属性** 从 IAM 角色添加 IAM 标签键值对。 **权限范围** 请指定您是向同一账户具有匹配属性的主体,还是向另一账户中具有匹配属性的主体授予权限。 1. 在 **LF 标签或目录资源**部分下,选择**已命名数据目录资源**。 ![\[“LF 标签或目录资源”部分包含两个水平排列的磁贴,其中每个磁贴包含一个选项按钮和描述性文本。选项包括通过 LF 标签匹配的资源和命名数据目录资源。磁贴下方是两个下拉列表:“数据库”和“表”。“数据库”下拉列表下方有一个磁贴,其中包含所选数据库名称。\]](http://docs.amazonaws.cn/lake-formation/latest/dg/images/grant-target-resources-catalog.png) 1. 从**目录**列表中选择一个或多个目录。您也可以选择一个或多个**数据库**、**表**、 and/or **数据筛选器**。 1. 在**目录权限**部分,选择权限和可授予的权限。在**目录权限**下,选择要授予的一项或多项权限。 ![\[权限部分的目录权限磁贴。磁贴下方是一组要授予的目录权限对应的复选框。这些复选框包括“超级用户”、“创建目录”、“创建数据库”、“更改”、“放弃”、“描述”和“Super”。该组下方是另一组相同的复选框,代表可授予的权限。\]](http://docs.amazonaws.cn/lake-formation/latest/dg/images/grant-target-catalog-permissions-section.png) 选择**超级用户**可授予不受限制的管理权限,以便对目录中的所有资源(数据库、表和视图)执行操作。 **注意** 在对具有指向注册位置的位置属性的目录授予 `Create database` 或 `Alter` 权限后,请确保还向主体授予对该位置的数据位置权限。有关更多信息,请参阅 [授予数据位置权限](granting-location-permissions.md)。 1. (可选)在**可授予的权限**下,选择授予接收人可以向其 Amazon 账户中的其他主体授予的权限。当您从外部账户向 IAM 主体授予权限时,不支持此选项。 1. 选择**授予**。 **数据权限**页面显示权限详细信息。如果您使用**按属性划分的主体**选项来授予权限,则可以在列表中查看授予给 `ALLPrincipals` 的权限。 ------ #### [ Amazon CLI ] 有关使用授予目录权限的信息 Amazon CLI,请参阅[创建 Amazon Redshift 联合目录](create-ns-catalog.md)。 ------