第 4 步:实现命名资源方法 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 4 步:实现命名资源方法

要使用命名资源方法,我们将指导您完成以下概括步骤:

  1. 或者,撤销权限IAMAllowedPrincipals在数据库、表和列上。

  2. 向消费者账户授予数据权限。

  3. 接受来自的资源共享Amazon Resource Access Manager.

  4. 为共享表创建资源链接。

  5. 将共享表的数据权限授予使用者。

  6. 向消费者授予资源链接的数据权限。

撤销权限IAMAllowedPrincipals在数据库、表和列上(可选)

  • 在本教程的一开始,我们更改了 Lake Formation 数据目录设置。如果跳过了该部分,则需要执行此步骤。有关说明,请参阅前一部分中的可选步骤。

向消费者账户授予数据权限

  1. 注意

    如果您以另一个用户身份登录生产者账户,请先注销。

    通过以下地址登录 Lake Formation 控制台https://console.aws.amazon.com/lakeformation/使用生产者账户数据湖管理员使用Amazon Web Services 账户ID,IAM 用户名(默认值为DatalakeAdminProducer) 和期间指定的密码Amazon CloudFormation堆栈创建。

  2. 在存储库的Permissions (权限)页面,下数据湖权限选择Grant.

  3. UNDER委托人,选择外部账户,然后输入一个或多个Amazon Web Services 账户或Amazon组织 ID。有关更多信息,请参阅:AmazonOrganizations.

    生产者账户所属的 Organizations 和Amazon Web Services 账户在同一组织中自动显示。否则,请手动输入账户 ID 或组织 ID。

  4. 适用于LF-标签或目录资源,选择Named data catalog resources.

  5. UNDER数据库,选择数据库lakeformation_tutorial_cross_account_database_named_resource.

  6. 选择添加 lf-tag.

  7. UNDER,选择所有表.

  8. 适用于表列权限选择Select, 和描述表权限.

  9. SelectSelect描述下,可授予权限.

  10. 或者,对于数据权限,选择简单的基于列的访问是否需要列级权限管理。

  11. 选择 Grant(授权)。

如果你没有撤销许可IAMAllowedPrincipals,你将获得授予权限失败的错误。此时,您应该会看到目标表是通过共享的Amazon RAM使用消费者账户权限、数据权限.

接受来自的资源共享Amazon RAM

注意

此步骤仅适用于Amazon Web Services 账户基于基于共享,而不是基于组织的共享。

  1. 登录到Amazon在控制台https://console.aws.amazon.com/connect/使用消费者账户数据湖管理员使用 IAM 用户名(默认值为 dataLakeAdminCompler)和在期间指定的密码Amazon CloudFormation堆栈创建。

  2. 在存储库的Amazon RAM控制台、导航窗格中的下与我共享,资源共享中,选择共享的 Lake Formation 资源。这些区域有:状态应为Pending.

  3. 选择操作Grant.

  4. 确认资源详细信息,然后选择接受资源共享.

    此时,消费者账户数据湖管理员应该能够在 Lake Formation 控制台上找到共享资源Data Catalog数据库.

为共享表创建资源链接

向消费者授予共享表的数据权限

要向使用者授予共享表的数据权限,请完成以下步骤:

  1. 在湖形控制台上(https://console.aws.amazon.com/lakeformation/下),下Permissions (权限)数据湖权限,选择Grant.

  2. 适用于委托人,选择IAM 用户和角色,然后选择用户DataAnalyst.

  3. 适用于LF-标签或目录资源,选择命名数据目录资源.

  4. UNDER数据库,选择数据库lakeformation_tutorial_cross_account_database_named_resource. 如果您在下拉列表中没有看到数据库,请选择加载更多.

  5. UNDER,选择表amazon_reviews_table_named_resource.

  6. 适用于表和列权限,选择Select描述表权限.

  7. 选择 Grant(授权)。

向消费者授予资源链接的数据权限

除了授予数据湖用户访问共享表的权限之外,还需要授予数据湖用户访问资源链接的权限。

  1. 在 Lake Formation 控制台上(https://console.aws.amazon.com/lakeformation/下),下Permissions (权限)数据湖权限,选择Grant.

  2. 适用于委托人,选择IAM 用户和角色,然后选择用户DataAnalyst.

  3. 适用于LF-标签或目录资源,选择命名数据目录资源.

  4. UNDER数据库,选择数据库lakeformation_tutorial_cross_account_database_consumer. 如果您在下拉列表中没有看到数据库,请选择加载更多.

  5. UNDER,选择表amazon_reviews_table_named_resource_resource_link.

  6. 适用于资源链接权限,选择描述资源链接权限.

  7. 选择 Grant(授权)。

    此时,消费者账户中的数据分析师用户应该能够找到数据库和资源链接,并通过 Athena 控制台查询共享表。

    如果没有,请确认以下内容是否已正确配置:

    • 已为共享表创建资源链接

    • 您授予用户访问由生产者账户共享的表的权限

    • 您已授予用户访问为其创建资源链接的资源链接和数据库的访问权限