授予与您的账户共享的数据库或表的权限 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予与您的账户共享的数据库或表的权限

在属于另一个数据目录资源之后Amazon账户已与您共享Amazon账户,作为数据湖管理员,您可以向账户中的其他委托人授予对共享资源的权限。但是,您不能向其他人授予对该资源的权限Amazon账户或组织。

您可以使用Amazon Lake Formation控制台、API 或Amazon Command Line Interface(Amazon CLI) 来授予权限。

授予对共享数据库的权限(命名资源方法、控制台)

授予对共享表的权限(命名资源方法、控制台)

授予对共享资源的权限(LF-TBAC 方法、控制台)

  • 按照中的说明进行操作使用 Lake Formation 控制台和 LF-TBAC 方法授予数据目录权限LF-标签或目录资源部分中,授予外部账户授予您账户的准确 LF-tag 表达式或该表达式的子集。

    例如,如果外部账户授予了 lf-tag 表达式module=customers AND environment=production使用授权选项转至您的账户,作为数据湖管理员,您可以授予相同的表达式,或者module=customers要么environment=production给你账户中的委托人。您只能授予相同或部分 Lake Formation 权限(例如,SELECTALTER,等等)通过 lf-tag 表达式对资源授予的。

要授予对共享表(命名资源方法)的权限,Amazon CLI)

  • 输入类似以下的命令。在此示例中:

    • 您的Amazon账户 ID 为 1111-2222-3333。

    • 拥有该表并授予您账户的账户是 1234-5678-9012。

    • 这些区域有:SELECT正在对共享表授予权限pageviews给用户datalake_user1. 该用户是您账户中的委托人。

    • 这些区域有:pageviews表格在analytics数据库,由账户 1234-5678-9012 拥有。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "Table": {"CatalogId":"123456789012", "DatabaseName":"analytics", "Name":"pageviews"}}'

    请注意,拥有的账户必须在CatalogId中的财产resource参数。