示例权限方案 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

示例权限方案

以下场景有助于演示如何设置权限以保护对中数据的访问Amazon Lake Formation.

Shirley 是数据管理员。她想为自己的公司 AnyCompany 建立一个数据湖。目前,所有数据都存储在 Amazon S3 中。John 是一名营销经理,需要对客户购买信息的写入权限(包含在s3://customerPurchases)。营销分析师迭戈今年夏天加入约翰。约翰需要能够授予迭戈访问权限,以便在不涉及 Shirley 的情况下对数据执行查询。

总而言之:

  • Shirley 是数据湖管理员。

  • John 需要CREATE_DATABASECREATE_TABLE在数据目录中创建新数据库和表的权限。

  • 约翰还需要SELECTINSERT, 和DELETE对他创建的表的权限。

  • 迭戈需要SELECT表上运行查询的权限。

AnyCompany 的员工执行以下操作来设置权限。为了清晰起见,本场景中显示的 API 操作显示了简化的语法。

  1. Shirley 向 Lake Formation 注册了包含客户购买信息的 Amazon S3 路径。

    RegisterResource(ResourcePath("s3://customerPurchases"), false, Role_ARN )
  2. Shirley 授予 John 访问包含客户购买信息的 Amazon S3 路径。

    GrantPermissions(John, S3Location("s3://customerPurchases"), [DATA_LOCATION_ACCESS]) )
  3. Shirley 授予 John 创建数据库的权限。

    GrantPermissions(John, catalog, [CREATE_DATABASE])
  4. John 创建数据库John_DB. John 自动拥有CREATE_TABLE该数据库的权限是因为他创建了数据库。

    CreateDatabase(John_DB)
  5. John 创建表John_Table指向s3://customerPurchases. 因为他创建了表,所以他拥有该表的所有权限,并且可以授予对表的权限。

    CreateTable(John_DB, John_Table)
  6. 约翰允许他的分析师 Diego 进入桌子John_Table.

    GrantPermissions(Diego, John_Table, [SELECT])