授予表格权限(外部帐户) - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予表格权限(外部帐户)

按照以下步骤授予 AWS Lake Formation 数据库中一个或多个表格上对外部 AWS 帐户、组织或组织单位。通过在表上授予跨帐户权限,您将自动共享该表。

您可以使用 Lake Formation 控制台、API或 AWS Command Line Interface (人AWS CLI)。

之前 You和 Begin

确保满足所有跨帐户访问先决条件。有关更多信息,请参阅跨账户访问先决条件

授予表格权限(外部帐户、控制台)

  1. 打开 AWS Lake Formation 控制台位于 https://console.amazonaws.cn/lakeformation/. S作为 具有 AWSLakeFormationCrossAccountManager AWS 托管政策已附加. 这是建议数据湖管理员使用的策略之一,但任何用户可以附加此策略以授予跨帐户权限。

  2. 执行下列操作之一:

    • 在导航窗格中,选择 数据权限,然后选择 授予.

    • 在导航窗格中,选择 Tables (表)。然后,在 表格 页面,选择一个表格,并在 操作 菜单,低于 权限,选择 授予.

      这是更快的方法,因为您无需在 授予权限 对话框。但是,如果您想授予数据库中所有表的权限,请使用其他方法。

    注意

    您可以通过其资源链接授予表权限。为此,在 表格 页面,选择资源链接,并在 操作 菜单,选择 对目标授予. 要授予资源链接本身的权限,请参阅 授予资源链接权限.

  3. 授予权限 对话框中,选择 外部帐户 方块。

  4. 提供以下信息:

    • 对于 AWS帐户ID或AWS组织ID,输入一个或多个有效 AWS 账户 IDs,组织 IDs,或组织单位 IDs.

      输入 每个ID后面。

      组织ID由“o-”和10至32个小写字母或数字组成。

      组织单位ID由“ou-”后跟4到32个小写字母或数字(包含OU的根ID)组成。此字符串后跟第二个“-”破折号和8至32个附加小写字母或数字。

    • 如果 数据库 字段,选择数据库 您的 AWS 账户 包含表格的 在上授予跨帐户权限。表列表会填充。

    • 如果 字段存在, 选择 一个或多个表格,或 * 所有表格.

    • 对于 表格权限,选择要授予的权限,并确保 是 相同权限 授予权限 被选中.

      通过在权限上选择授予选项,您可以启用外部帐户中的数据湖管理员向外部帐户中的其他主体授予表中的权限。

      您可以授予 Lake Formation 表格权限到其他 AWS 帐户。如果您授予 ALTERDROP 权限,请确保也向principal授予跨帐户数据位置权限。有关更多信息,请参阅授予数据位置权限

    
                在授予权限对话框中,选择单选按钮“外部帐户”。将指定AWS帐户、数据库和表,并且通过授予选项授予权限SELECT。
  5. 选择 授予.

注意

如果您授予 ALTER 将其基础数据位于已注册位置的表格权限,请确保还将该位置的数据位置权限授予外部帐户。有关更多信息,请参阅授予数据位置权限

授予表权限(外部帐户、 AWS CLI)

  • 输入类似于以下示例的命令。

    • 授予 SELECT 上列有赠款选项 agents 在数据库中 issues 到账户 1111-2222-3333.

      aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "SELECT" --permissions-with-grant-option "SELECT" --resource '{ "Table": { "DatabaseName": "issues", "Name": "agents" }}'
    • 授予 SELECT 在数据库中的所有表格上都使用授予选项 clinical-trials 到账户 1111-2222-3333. 关键词 TableWildcard 用于代替表名称。

      aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "SELECT" --permissions-with-grant-option "SELECT" --resource '{ "Table": { "DatabaseName": "clinical-trials", "TableWildcard": {} } }'
    • 授予 SELECT 上列有赠款选项 agents 在数据库中 issues 到组织 o-abcdefghijkl.

      aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "SELECT" --permissions-with-grant-option "SELECT" --resource '{ "Table": { "DatabaseName": "issues", "Name": "agents" }}'
    • 授予 SELECT 上列有赠款选项 agents 在数据库中 issues 到组织单位 ou-ab00-cdefghij 在组织中 o-abcdefghijkl.

      aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:ou/o-abcdefghijkl/ou-ab00-cdefghij --permissions "SELECT" --permissions-with-grant-option "SELECT" --resource '{ "Table": { "DatabaseName": "issues", "Name": "agents" }}'
注意

如果您授予 ALTER 将其基础数据位于已注册位置的表格权限,请确保还将该位置的数据位置权限授予外部帐户。有关更多信息,请参阅授予数据位置权限