权限示例场景 - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

权限示例场景

以下场景有助于展示如何设置权限,以保护对 AWS Lake Formation.

Shirley是数据管理员。她想为她的公司设置一个数据湖, AnyCompany。目前,所有数据都存储在 Amazon S3. John是一名营销经理,需要客户购买信息的写权限(包括 s3://customerPurchases)。营销分析师Diego于今年夏天加入John。John需要授予Diego权限,在不涉及Shirley的情况下对数据进行查询。

总结:

  • Shirley是数据湖管理员。

  • John要求 CREATE_DATABASECREATE_TABLE 在中创建新数据库和表格的权限 Data Catalog.

  • John也要求 SELECT, INSERT,和 DELETE 所创建表格的权限。

  • Diego要求 SELECT 用于运行查询的权限。

其员工 AnyCompany 执行以下操作以设置权限。此场景中显示的API操作为清楚起见显示简化的语法。

  1. Shirley登记 Amazon S3 包含客户购买信息的路径 Lake Formation.

    RegisterResource(ResourcePath("s3://customerPurchases"), false, Role_ARN )
  2. Shirley向John授予访问 Amazon S3 包含客户购买信息的路径。

    GrantPermissions(John, S3Location("s3://customerPurchases"), [DATA_LOCATION_ACCESS]) )
  3. Shirley授予John创建数据库的权限。

    GrantPermissions(John, catalog, [CREATE_DATABASE])
  4. John创建数据库 John_DB。John自动 CREATE_TABLE 该数据库的权限,因为他创建了它。

    CreateDatabase(John_DB)
  5. John创建表格 John_Table 指向 s3://customerPurchases。因为他创建了表,所以他拥有该表的所有权限,并且可以授予它的权限。

    CreateTable(John_DB, John_Table)
  6. John允许他的分析师Diego进入餐桌 John_Table.

    GrantPermissions(Diego, John_Table, [SELECT])