使用命名资源方法授予对视图的权限 - Amazon Lake Formation
打开授予权限页面指定主体类型指定视图指定权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用命名资源方法授予对视图的权限

以下步骤说明如何使用命名资源方法和授予权限页面来授予对视图的权限。该页面分为以下几个部分:

  • 主体类型:要授予权限的 IAM 用户、角色、IAM Identity Center 用户和组、Amazon Web Services 账户、组织或组织单元。您还可向具有匹配属性的主体授予权限。

  • LF 标签或目录资源:要对其授予权限的数据库、表、视图或资源链接。

  • 权限 – 要授予的数据湖权限。

打开授予权限页面

  1. 通过 https://console.aws.amazon.com/lakeformation/ 打开 Amazon Lake Formation 控制台,然后以数据湖管理员、表创建者或对数据库具有可授予的权限的 IAM 用户身份登录。

  2. 请执行以下操作之一:

    • 在导航窗格的权限下,选择数据权限。然后选择授予

    • 在导航窗格的数据目录下,选择视图。然后在视图页面上选择一个表,并在操作菜单的权限下选择授予

    注意

    您可以通过视图的资源链接授予对视图的权限。为此,在视图页面上选择一个资源链接,然后在操作菜单上选择对目标的授权。有关更多信息,请参阅资源链接在 Lake Formation 中的工作原理

指定主体类型

主体类型部分,选择主体或按属性划分的主体。如果选择主体,则有以下选项可用:

IAM 用户和角色

IAM 用户和角色列表中选择一个或多个用户或角色。

IAM Identity Center 验证

用户和组列表中选择一个或多个用户或组。

SAML 用户和组

对于 SAML 和 Quick Suite 用户和组,为通过 SAML 联合的用户或组输入一个或多个 Amazon 资源名称(ARN),或者为 Amazon Quick Suite 用户或组输入 ARN。在每个 ARN 后按 Enter。

有关如何构建 ARN 的信息,请参阅 Lake Formation 授予和撤销 Amazon CLI 命令

注意

只有 Quick Suite 企业版支持 Lake Formation 与 Quick Suite 的集成。

外部账户

对于 Amazon Web Services 账户、Amazon OrganizationsIAM 主体,为 IAM 用户或角色输入一个或多个有效的 Amazon 账户 ID、组织 ID、组织单元 ID 或 ARN。在每个 ID 后按 Enter

组织 ID 由“o-”后跟 10 到 32 个小写字母或数字组成。

单位 ID 以“ou-”开头,后跟 4 到 32 个小写字母或数字(包含 OU 的根的 ID)。该字符串后跟第二个“-”短横线和 8 到 32 个额外的小写字母或数字。

另请参阅
按属性划分的主体

指定属性键和值。如果选择多个值,则将使用 OR 运算符来创建属性表达式。这意味着,如果分配给某个 IAM 角色或用户的任何属性标签值匹配,则该角色/用户将获得对资源的访问权限

通过指定您是向同一账户中具有匹配属性的主体,还是向另一个账户中具有匹配属性的主体授予权限来选择权限范围。

指定视图

LF 标签或目录资源部分中,选择一个或多个要对其授予权限的视图。

  1. 选择命名数据目录资源

  2. 视图列表中选择一个或多个视图。您还可以选择一个或多个目录、数据库、表和/或数据筛选条件。

    向数据库内的 All tables 授予数据湖权限将导致被授权者具有对数据库内所有表和视图的权限。

指定权限

权限部分中,选择权限和可授予的权限。

“权限”部分包含一组复选框,表示要授予的视图权限。这些复选框包括“Select”、“Describe”、“Drop”和“Super”。该组下方是另一组相同的复选框,代表可授予的权限。

  1. 视图权限下,选择一项或多项要授予的权限。

  2. (可选)在可授予的权限下,选择授予接收人可以向其 Amazon Web Services 账户中的其他主体授予的权限。当您从外部账户向 IAM 主体授予权限时,不支持此选项。

  3. 选择授予

另请参阅