本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用命名资源方法授予对视图的权限
以下步骤说明了如何使用命名的资源方法和授予权限页面来授予视图权限。该页面分为以下几个部分:
-
委托人类型 — 要授予权限的 IAM 用户、角色、IAM Identity Center 用户和群组 Amazon Web Services 账户、组织或组织单位。您也可以向具有匹配属性的委托人授予权限。
-
LF 标签或目录资源 – 要对其授予权限的数据库、表、视图或资源链接。
-
权限 – 要授予的数据湖权限。
打开 “授予权限” 页面
-
在打开 Amazon Lake Formation 控制台 https://console.aws.amazon.com/lakeformation/
,然后以数据湖管理员、数据库创建者或对数据库拥有可授予权限的 IAM 用户身份登录。 -
请执行以下操作之一:
-
在导航窗格的权限下,选择数据权限。然后选择授予。
-
在导航窗格的数据目录下,选择视图。然后在视图页面上选择一个表,并在操作菜单的权限下选择授予。
注意
您可以通过视图的资源链接授予对视图的权限。为此,在视图页面上选择一个资源链接,然后在操作菜单上选择对目标的授权。有关更多信息,请参阅 资源链接在 Lake Formation 中的工作原理。
-
指定主体类型
在 “校长类型” 部分中,按属性选择委托人或委托人。如果您选择 “委托人”,则可以使用以下选项:
- IAM 用户和角色
-
从 IAM 用户和角色列表中选择一个或多个用户或角色。
- IAM Identity Center
-
从用户和组列表中选择一个或多个用户或组。
- SAML 用户和组
-
对于 SAML 以及 QuickSight 用户和群组,请为通过 SAML 联合的用户或群组或亚马逊用户或群组输入一个或多个 ARNs Ama QuickSight zon 资源名称 (ARNs)。在每个 ARN 后按 Enter。
有关如何构造的信息 ARNs,请参见Lake Formation 授予和撤销命令 Amazon CLI。
注意
只有 QuickSight 企业版支持与 Lak QuickSight e Formation 集成。
- 外部账户
-
对于Amazon Web Services 账户 Amazon 组织或 IAM 委托人,请为 IAM 用户或角色输入一个或多个有效的 Amazon 账户 IDs IDs IDs、组织、组织单位或 ARN。在每个 ID 后按 Enter。
组织 ID 由“o-”后跟 10 到 32 个小写字母或数字组成。
单位 ID 以“ou-”开头,后跟 4 到 32 个小写字母或数字(包含 OU 的根的 ID)。该字符串后跟第二个“-”短横线和 8 到 32 个额外的小写字母或数字。
另请参阅
- 按属性划分的校长
指定属性键和值。如果您选择多个值,则将使用 OR 运算符创建属性表达式。这意味着,如果分配给 IAM 角色或用户的任何属性标签值匹配,则该角色/用户将获得对资源的访问权限
要选择权限范围,请指定您是向同一账户中属性匹配的委托人授予权限还是其他账户中的委托人授予权限。
指定视图
在 LF 标签或目录资源部分中,选择一个或多个要对其授予权限的视图。
-
选择命名数据目录资源。
-
从视图列表中选择一个或多个视图。您也可以选择一个或多个目录、数据库、表和/或数据筛选器。
向数据库内的
All tables授予数据湖权限将导致被授权者具有对数据库内所有表和视图的权限。
指定权限
在权限部分中,选择权限和可授予的权限。
-
在视图权限下,选择一项或多项要授予的权限。
-
(可选)在可授予的权限下,选择授予接收人可以向其 Amazon Web Services 账户中的其他主体授予的权限。当您从外部账户向 IAM 主体授予权限时,不支持此选项。
-
选择授予。