本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
授予对与您的账户共享的数据位置的权限
与您的Amazon账户共享数据目录资源后,作为数据湖管理员,您可以向账户中的其他主体授予对该资源的权限。如果在共享表上授予了ALTER
权限,并且该表指向注册的 Amazon S3 位置,则您还必须授予该位置的数据位置权限。同样,如果对共享数据库授予CREATE_TABLE
或ALTER
权限,并且该数据库具有指向注册位置的位置属性,则还必须授予该位置的数据位置权限。
要向您账户中的委托人授予共享位置上的数据位置权限,您的账户必须已通过授予选项获得该位置的DATA_LOCATION_ACCESS
权限。然后,当您DATA_LOCATION_ACCESS
向账户中的其他委托人授予权限时,必须包括所有者Amazon账户的数据目录 ID(账户 ID)。所有者账户是注册该地点的账户。
您可以使用Amazon Lake Formation控制台、API 或Amazon Command Line Interface (Amazon CLI来授予数据定位权限。
授予对与您的账户共享的数据位置的权限(控制台)
-
按 授予数据位置权限(同一账户) 中的步骤操作。
对于存储位置,必须键入位置。对于注册账户所在地,输入所有者Amazon账户的账户 ID。
授予对与您的账户共享的数据位置的权限 (Amazon CLI)
-
输入以下命令之一以向用户或角色授予权限。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::
<account-id>
:user/<user-name>
--permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>
","ResourceArn":"arn:aws:s3:::<s3-location>
"}}' aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>
:role/<role-name>
--permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>
","ResourceArn":"arn:aws:s3:::<s3-location>
"}}'