第 1 步:提供对另一个账户的精细访问权限 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 1 步:提供对另一个账户的精细访问权限

了解账户 A 的数据湖管理员如何为账户 B 提供精细访问权限

授予对其他账户的精细访问权限

  1. 登录到Amazon Web Services Management Console在https://console.aws.amazon.com/connect/在账户 A 中作为数据湖管理员。

  2. 打开 Lake Formation 控制台(https://console.aws.amazon.com/lakeformation/),然后选择试用.

  3. 在导航窗格中,选择数据库.

  4. 选择创建数据库

  5. 数据库详细信息部分,选择数据库.

  6. 适用于名称在本教程中,请输入名称(在本教程中,我们使用sampledb01)。

  7. 确保仅对此数据库中的新表使用 IAM 访问控制未选中。如果不选中此选项,我们可以控制来自 Lake Formation 的访问。

  8. 选择 Create database(创建数据库)。

  9. 在存储库的数据库页面上,选择您的数据库sampledb01.

  10. 在存储库的操作菜单中,选择Grant.

  11. 授予权限部分,选择外部账户.

  12. 适用于Amazon Web Services 账户或者身份证Amazon组织 ID(OU2)中,输入 OU2 中的账户 B 的账户 ID。

  13. 适用于中,选择您希望账户 B 有权访问的表格(对于此帖子,我们使用表格acc_a_area)。或者,您可以授予对表格中列的访问权限,这是我们在本帖中执行的。

  14. 适用于包括列选择您希望账户 B 有权访问的列(对于此帖子,我们授予类型、名称和标识符的权限)。

  15. 适用于,选择包括列.

  16. 适用于表权限,选择Select.

  17. 适用于可授予权限,选择Select. 需要授予权限,因此账户 B 中的管理员用户可以向账户 B 中的其他用户授予权限

  18. 选择 Grant(授权)。

  19. 在导航窗格中,选择

  20. 你可以在Amazon Web Services 账户和Amazon有访问权限的组织部分。

创建资源链接

像 Amazon Athena 这样的集成服务无法跨账户直接访问数据库或表。因此,您需要创建资源链接,以便 Athena 可以访问帐户中的资源链接到其他账户中的数据库和表。创建指向表的资源链接 (acc_a_area) 所以账户 B 用户可以使用 Athena 查询其数据。

  1. 登录到Amazon控制台在https://console.aws.amazon.com/connect/在账户 B 中testuser1.

  2. 在 Lake Formation 控制台上(https://console.aws.amazon.com/lakeformation/在导航窗格中,选择. 你应该看到账户 A 提供了访问权限的表格。

  3. 选择 acc_a_area 表。

  4. 在存储库的操作菜单中,选择创建资源链接.

  5. 适用于资源链接名称在本教程中,输入名称(对于本教程,acc_a_area_rl)。

  6. 适用于数据库,选择您的数据库(testdb)。

  7. 选择 Create(创建)。

  8. 在导航窗格中,选择

  9. 选择 acc_b_area_rl 表。

  10. 在存储库的操作菜单中,选择查看数据.

    您将被重定向到 Athena 控制台,在其中您应看到数据库和表。

    现在,您可以在表中运行查询,以查看从账户 B 向 testuser1 提供了访问权限的列值。