授予对与您的账户共享的数据库或表的权限 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予对与您的账户共享的数据库或表的权限

将属于另一个 Amazon 账户的数据目录资源与您的 Amazon 账户共享后,作为数据湖管理员,您可以向账户中的其他委托人授予共享资源的权限。但是,您不能向其他 Amazon 账户或组织授予对该资源的权限。

您可以使用 Amazon Lake Formation 控制台API、或 Amazon Command Line Interface (Amazon CLI) 来授予权限。

授予对共享数据库的权限(命名资源方法、控制台)
授予对共享表的权限(命名资源方法、控制台)
授予共享资源的权限(LF TBAC 方法、控制台)
  • 按照授予数据目录权限 中的说明进行操作。在 LF 标签或目录资源部分,授予外部账户向您的账户授予的精确 LF 标签表达式或该表达式的子集。

    例如,如果外部账户使用授权选项向您的账户授予了 LF 标签表达式 module=customers AND environment=production,则作为数据湖管理员,您可以向您账户中的主体授予相同的表达式,即 module=customersenvironment=production。您只能授予通过 LF 标签表达式授予的对资源的相同或部分 Lake Formation 权限(例如 SELECTALTER 等)。

要授予共享表(命名为资源方法 Amazon CLI)的权限
  • 输入类似以下的命令。在本示例中:

    • 你的 Amazon 账户编号是 1111-2222-3333。

    • 拥有该表并将其授予您的账户的账户是 1234-5678-9012。

    • 正在向用户 datalake_user1 授予对共享表 pageviewsSELECT 权限。该用户是您账户中的主体。

    • pageviews 表位于 analytics 数据库中,该数据库归账户 1234-5678-9012 所有。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "Table": {"CatalogId":"123456789012", "DatabaseName":"analytics", "Name":"pageviews"}}'

    请注意,必须在 resource 参数的 CatalogId 属性中指定所有者账户。