第 4 步:实施命名资源方法 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 4 步:实施命名资源方法

为了使用命名资源方法,我们将引导您完成以下主要步骤:

  1. (可选)撤销 IAMAllowedPrincipals 对数据库、表和列的权限。

  2. 向使用者账户授予数据权限。

  3. 接受来自的资源共享 Amazon Resource Access Manager。

  4. 为共享表创建资源链接。

  5. 向使用者授予对共享表的数据权限。

  6. 向使用者授予对资源链接的数据权限。

撤销 IAMAllowedPrincipals 对数据库、表和列的权限(可选)

  • 在本教程的开头,我们更改了 Lake Formation 数据目录设置。如果您跳过了该部分,则需要执行这一步。有关说明,请参阅上一节中的可选步骤。

向使用者账户授予数据权限
  1. 注意

    如果您以其他用户身份登录了制作者账户,请先退出。

    使用创建者账户数据湖管理员使用 Amazon CloudFormation 堆栈创建期间指定的 Amazon Web Services 账户 ID、IAM 用户名(默认为DatalakeAdminProducer)和密码登录 Lake Formation 控制台,网址为 https://console.aws.amazon.com/lakeformation/

  2. 权限页面上的数据湖权限下,选择授权

  3. 委托人下,选择外部帐户,然后输入一个或多个 Amazon Web Services 账户 ID 或 Amazon 组织 ID。有关更多信息,请参阅 Amazon 组织

    制作者账户所属且 Amazon Web Services 账户 位于同一组织内的组织会自动出现。否则,请手动输入账户 ID 或组织 ID。

  4. 对于 LF 标签或目录资源,选择Named data catalog resources

  5. 数据库下,选择数据库 lakeformation_tutorial_cross_account_database_named_resource

  6. 选择添加 LF 标签

  7. 下,选择所有表

  8. 对于表列权限,在表权限下选择选择描述

  9. 可授予的权限下选择选择描述

  10. 或者,对于数据权限,如果需要进行列级别权限管理,请选择基于列的简单访问权限

  11. 选择授权

如果您尚未撤销 IAMAllowedPrincipals 的权限,则会遇到授予权限失败错误。此时,您应该在 “权限”、“数据权限” 下看到目标表是通过 Amazon RAM 与消费者账户共享的。

接受来自的资源共享 Amazon RAM
注意

此步骤仅适用于 Amazon Web Services 账户基于组织的共享,不适用于基于组织的共享。

  1. 使用消费者账户数据湖管理员使用 Amazon CloudFormation 堆栈创建期间指定的 IAM 用户名(默认为 DatalakeAdminConsumer)和密码登录 Amazon 控制台,网址为 https://console.aws.amazon.com/connect/

  2. 在 Amazon RAM 控制台的导航窗格中,在 “与我共享”、“资源共享” 下,选择共享的 Lake Formation 资源。状态应为待处理

  3. 选择操作授权

  4. 确认资源详细信息,然后选择接受资源共享

    此时,使用者账户数据湖管理员应该能够通过 (https://console.aws.amazon.com/lakeformation/) 访问 Lake Formation 控制台,在数据目录下的数据库中找到共享资源。

为共享表创建资源链接
向使用者授予对共享表的数据权限

要向使用者授予对共享表的数据权限,请完成以下步骤:

  1. 在 Lake Formation 控制台 (https://console.aws.amazon.com/lakeformation/) 上权限下的数据湖权限中,选择授权

  2. 对于主体,选择 IAM 用户和角色,然后选择用户 DataAnalyst

  3. 对于 LF 标签或目录资源,选择命名数据目录资源

  4. 数据库下,选择数据库 lakeformation_tutorial_cross_account_database_named_resource。如果在下拉列表中看不到该数据库,请选择加载更多

  5. 下,选择表 amazon_reviews_table_named_resource

  6. 对于表和列权限,选择表权限下的选择描述

  7. 选择授权

向使用者授予对资源链接的数据权限

除了向数据湖用户授予访问共享表的权限外,您还需要向数据湖用户授予访问资源链接的权限。

  1. 在 Lake Formation 控制台 (https://console.aws.amazon.com/lakeformation/) 上权限下的数据湖权限中,选择授权

  2. 对于主体,选择 IAM 用户和角色,然后选择用户 DataAnalyst

  3. 对于 LF 标签或目录资源,选择命名数据目录资源

  4. 数据库下,选择数据库 lakeformation_tutorial_cross_account_database_consumer。如果在下拉列表中看不到该数据库,请选择加载更多

  5. 下,选择表 amazon_reviews_table_named_resource_resource_link

  6. 对于资源链接权限,在资源链接权限下选择描述

  7. 选择授权

    此时,使用者账户中的数据分析师用户应该能够找到数据库和资源链接,并通过 Athena 控制台查询共享表。

    如果不能,请确认以下配置是否正确。

    • 已为共享表创建资源链接

    • 您已授予用户访问通过制作者账户共享的表的权限

    • 您已授予用户访问资源链接和为其创建资源链接的数据库的权限