本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Lake Formation 权限概述 Amazon Lake Formation中有两种主要类型的权限: + 元数据访问权限 - 对数据目录资源的权限(数据目录权限)。** 这些权限使主体能够创建、读取、更新和删除数据目录中的元数据数据库和表。 + 基础数据访问- Amazon Simple Storage Service (Amazon S3)中位置的权限(*数据访问权限*和*数据位置权限*)。 + 数据湖权限使主体能够在基础 Amazon S3 位置中读取和写入数据,即数据目录资源指向的数据。** + 数据位置权限使主体能够创建和更改指向特定 Amazon S3 位置的元数据数据库和表。 对于这两个区域,Lake Formation 都使用了 Lake Formation 权限和 Amazon Identity and Access Management (IAM) 权限的组合。IAM 权限模型由 IAM 策略组成。Lake Formation 权限模型是作为 DBMS 风格的 GRANT/REVOKE 命令实现的,例如。`Grant SELECT on tableName to userName` 当主体请求访问数据目录资源或基础数据时,请求必须通过 IAM 和 Lake Formation 的权限检查才能成功。 ![请求者的请求必须通过两扇“门”才能访问资源:Lake Formation 权限和 IAM 权限。](http://docs.amazonaws.cn/lake-formation/latest/dg/images/permissions_doors.png) Lake Formation 权限控制对数据目录资源、Amazon S3 位置以及这些位置的基础数据的访问。IAM 权限控制对 Lake Formati Amazon Glue APIs on 和资源的访问。因此,尽管您可能具有在数据目录 (`CREATE_TABLE`) 中创建元数据表的 Lake Formation 权限,但如果您不具有对 `glue:CreateTable` API 的 IAM 权限,您的操作将失败。(为什么需要 `glue:` 权限?因为 Lake Formation 使用 Amazon Glue Data Catalog。) **注意** Lake Formation 权限仅适用于被授予这些权限的区域。 Amazon Lake Formation 要求授权每个委托人(用户或角色)对 Lake Formation 托管资源执行操作。主体由数据湖管理员或其他有权授予 Lake Formation 权限的主体授予必要的授权。 当您向主体授予 Lake Formation 权限时,您可以选择授予将该权限传递给其他主体的能力。 你可以使用 Lake Formation API、 Amazon Command Line Interface (Amazon CLI) 或 Lake Formation 控制台**的数据权限****和数据位置**页面来授予和撤销 Lake Formation 权限。