使用 Lake Formation 控制台和命名资源方法授予表权限 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Lake Formation 控制台和命名资源方法授予表权限

您可以使用 Lake Formation 控制台和命名的资源方法来授予对数据目录表的 Lake Formation 权限。您可以授予对单个表的权限,也可以通过单个授予操作授予对数据库中所有表的权限。

如果您授予对数据库中所有表的权限,则隐式授予DESCRIBE对数据库的权限。然后,数据库将显示在数据库主机上的页面,并由GetDatabasesAPI 操作。

在选择时SELECT作为授予权限,您可以选择应用列筛选器、行筛选器或单元格过滤器。

以下步骤说明了如何使用命名资源方法和授予权限Lake Formation 控制台上的页面。本页面分为以下几个部分:

  • 委托人— 用户、角色、Amazon要向其授予权限的帐户、组织或组织单位。

  • LF-标签或目录资源— 要授予权限的数据库、表或资源链接。

  • Permissions (权限)— 要授予的 Lake Formation 权限。

注意

要授予对表资源链接的权限,请参阅授予资源链接权限.

打开授予权限页面

  1. 打开Amazon Lake Formation控制台https://console.aws.amazon.com/lakeformation/,然后以数据湖管理员、表创建者或使用授予选项授予表权限的用户身份登录。

  2. 请执行下列操作之一:

    • 在导航窗格中,选择和。数据权限. 然后选择 。Grant.

    • 在导航窗格中,选择。然后,在在页面中,选择一个表,然后在操作菜单,下Permissions (权限),选择Grant.

    注意

    您可以通过表的资源链接授予对表的权限。为此,请在页面中,选择资源链接,然后在操作选择菜单在目标上授予. 有关更多信息,请参阅 资源链接在 Lake Formation 中的工作原理

指定委托人

委托人部分中,选择委托人类型并指定要向其授予权限的承担者。


                  “承担者” 部分包含以下文本中命名的三个磁贴。每个磁贴都包含一个选项按钮和文本。IAM 用户和角色磁贴处于选中状态,磁贴下方有一个 IAM 用户和角色下拉列表。
IAM 用户和角色

IAM 用户和角色list。

SAML 用户和组

适用于SAML 和 Amazon QuickSight 用户和组中,为通过 SAML 联合的用户或组输入一个或多个亚马逊资源名称 (ARN),或者为 Amazon QuickSight 用户或组输入 ARN。在每个 ARN 之后按 Enter 键。

有关如何构建 ARN 的信息,请参阅Lake Formation 补助金和撤销Amazon CLI命令.

注意

仅 Amazon QuickSight 企业版支持 Lake Formation 与 Amazon QuickSight 的集成。

外部账户

适用于Amazon账户或Amazon组织,输入一个或多个有效Amazon账户 ID、组织 ID 或组织单位 ID。按Enter在每个身份证之后。

组织 ID 由 “o-” 组成,后跟 10-32 个小写字母或数字。

组织单位 ID 以 “ou-” 开头,后跟 4—32 个小写字母或数字(包含 OU 的根 ID)。此字符串后跟第二个 “-” 字符和 8 到 32 个额外的小写字母或数字。

指定表

LF-标签或目录资源部分中,选择一个数据库。然后选择一个或多个表,或所有表.


                  LF-Tags 或目录资源部分包含两个水平排列的磁贴,其中每个磁贴都包含一个选项按钮和描述性文本。这些选项包括与 LF-Tags 匹配的资源和命名数据目录资源。已选择命名数据目录资源。瓷砖下面是两个下拉列表:数据库和表格。“数据库” 下拉列表中有一个磁贴,其中包含所选数据库名称。“表” 下拉列表下面有一个磁贴,其中包含所选表名称。

指定权限

Permissions (权限)部分中,执行下列操作之一以选择权限和授予权限:

指定表权限(无数据筛选)

  1. 选择要授予的表权限,还可以选择可授权的权限。

    
                           “表” 和 “列权限” 部分有两个子部分:表权限和 Grantable 权限。每个小节都有一个对应每个可能的 Lake Formation 权限的复选框:更改、插入、删除、选择、描述和超级。Super 权限位于其他权限的右侧,并具有描述:“此权限允许委托人向左授予任何权限,并取代那些可授权的权限。”

    如果你授予Select数据权限部分出现在表和列权限部分,使用访问所有数据选项默认处于选中状态。接受默认值。

    
                           该部分包含三个水平排列的磁贴,每个图块都有一个选项按钮和描述。选项按钮有:所有数据访问(选定)、基于列的简单访问和高级单元格级筛选器。
  2. 选择 Grant(授权)。

使用数据筛选指定选择权限

  1. 选择Select权限。不要选择任何其他权限。

    这些区域有:数据权限部分出现在表和列权限部分。

  2. 请执行下列操作之一:

    • 仅应用简单的列筛选。

      1. 选择简单的基于列的访问.

        
                                       顶部是表和列权限部分。它在前面的屏幕截图中进行了描述。它包含表权限和可授权权限的复选框。底部 “数据权限” 部分有三个水平排列的磁贴,其中每个磁贴都有一个选项按钮和描述。选项包括所有数据访问、基于列的简单访问和高级单元格级筛选器。选择了基于简单列的访问选项。磁贴下方是一个带有 “选择权限筛选器” 标签的选项按钮组。选项包括 “包括列” 和 “排除列”。选项组下方是 “选择列” 下拉列表,下面是一个 “Grantable 权限” 子部分,其中包含一个标记为 “选择” 的复选框。
      2. 选择是包括还是排除列,然后选择要包括还是排除的列。

        向外部授予权限时,仅支持包含列表Amazon账户或组织。

      3. (可选)下可授予权限中,打开 “选择” 权限的授予选项。

        如果包括授权选项,则授权收件人只能对您授予他们的列授予权限。

      注意

      也只能通过创建指定列筛选器并将所有行指定为行筛选器的数据筛选器来应用列筛选器。但是,这需要更多的步骤。

    • 应用列、行或单元格筛选。

      1. 选择高级单元格级筛选器.

        
                                       此部分标题为 “数据权限”,位于 “表权限” 部分的下方。它有三个水平排列的磁贴,其中每个图块都有一个选项按钮和描述。选项包括所有数据访问、基于列的简单访问和高级单元格级筛选器。已选中 “高级单元格级筛选器” 选项。磁贴下方是标签查看现有权限,左侧有一个曝光三角形。现有权限不会公开。下面是题为要授予的数据筛选器的部分。标题右侧有三个按钮:刷新、管理筛选器和创建新筛选器。标题和按钮下方是一个带有占位符文本 “查找筛选器” 的文本字段。下面是现有筛选器的表格。每行左边都有一个复选框。列标题是筛选器名称、表、数据库和表目录 ID。有两行。第一行中的过滤器名称是限制药/药品。第二排的名字不是制药公司。
      2. (可选)展开查看现有权限.

      3. (可选)选择创建新筛选条件.

      4. (可选)要查看列出的筛选器的详细信息,或者要创建新的或删除现有筛选器,请选择管理筛选.

        这些区域有:筛选数据页面将在新的浏览器窗口中打开。

        完成后筛选数据页面,返回授予权限页面,如有必要,请刷新页面以查看您创建的任何新数据筛选器。

      5. 选择一个或多个要应用于授权的数据筛选器。

        注意

        如果列表中没有数据筛选器,则表示没有为所选表创建任何数据筛选器。

  3. 选择 Grant(授权)。