授予权限

将 S3 表与集成后 Amazon Lake Formation，您可以向账户中的其他 IAM 角色和用户授予对 S3 表目录和目录对象（表存储桶、数据库、表）的权限。Lake Formation 权限允许您为集成分析引擎（例如亚马逊 Redshift Spectrum 和 Athena）的用户定义表、列和行级别的访问控制。

您可以使用命名资源方法或 Lake Formation 基于标签的访问控制 (LF-TBAC) 方法来授予权限。在使用 LF-Tag 和 LF-Tag 表达式授予权限之前，必须定义它们并将其分配给数据目录对象。

有关更多信息，请参阅管理 LF 标签以实现元数据访问控制。

通过向外部 Amazon 账户授予 Lake Formation 权限，您可以与外部账户共享数据库和表。然后，用户可以运行跨多个账户联接和查询表的查询和作业。当您与其他账户共享目录资源时，该账户中的委托人可以像在他们的数据目录中一样对该资源进行操作。

当您与外部帐户共享数据库和表时，超级用户权限不可用。

有关授予权限的详细说明，请参阅一管理 Lake Formation 权限节。

Amazon CLI 在 Amazon S3 表上授予权限的示例


aws lakeformation grant-permissions \
--cli-input-json \
'{
    "Principal": {
        "DataLakePrincipalIdentifier":"arn:aws:iam::111122223333:role/DataAnalystRole"
    },
    "Resource": {
        "Table": {
            "CatalogId":"111122223333:s3tablescatalog/amzn-s3-demo-bucket1",
            "DatabaseName":"S3 table bucket namespace <example_namespace>",
            "Name":"S3 table bucket table name <example_table>"
        }
    },
    "Permissions": [
        "SELECT"
    ]
}'

以下是要包含在命令中的参数：

DataLakePrincipalIdentifier — 用于授予权限的 IAM 用户、角色或群组 ARN
CatalogId — 拥有数据目录的 12 位数 Amazon 账户 ID
DatabaseName — Amazon S3 表存储桶命名空间的名称
名称 — Amazon S3 表存储桶表名称
权限-要授予的权限。选项包括：选择、插入、删除、描述、更改、删除、全部和超级

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

在另一个 Amazon 账户中注册 Amazon S3 表存储桶

访问共享的 Amazon S3 表