第 4 步:实施命名资源方法 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 4 步:实施命名资源方法

为了使用命名资源方法,我们将引导您完成以下主要步骤:

  1. (可选)撤销 IAMAllowedPrincipals 对数据库、表和列的权限。

  2. 向使用者账户授予数据权限。

  3. 接受 Amazon Resource Access Manager 资源共享。

  4. 为共享表创建资源链接。

  5. 向使用者授予对共享表的数据权限。

  6. 向使用者授予对资源链接的数据权限。

撤销 IAMAllowedPrincipals 对数据库、表和列的权限(可选)

  • 在本教程的开头,我们更改了 Lake Formation 数据目录设置。如果您跳过了该部分,则需要执行这一步。有关说明,请参阅上一节中的可选步骤。

向使用者账户授予数据权限
  1. 注意

    如果您以其他用户身份登录了制作者账户,请先退出。

    以制作者账户数据湖管理员身份使用创建 Amazon CloudFormation 堆栈期间指定的 Amazon Web Services 账户 ID、IAM 用户名(默认为 DatalakeAdminProducer)和密码登录 Lake Formation 控制台,网址为 https://console.aws.amazon.com/lakeformation/

  2. 权限页面上的数据湖权限下,选择授权

  3. 主体下,选择外部账户,然后输入一个或多个 Amazon Web Services 账户 ID 或 Amazon 组织 ID。有关更多信息,请参阅 Amazon 组织

    制作者账户所属的组织和同一组织内的 Amazon Web Services 账户会自动显示。否则,请手动输入账户 ID 或组织 ID。

  4. 对于 LF 标签或目录资源,选择Named data catalog resources

  5. 数据库下,选择数据库 lakeformation_tutorial_cross_account_database_named_resource

  6. 选择添加 LF 标签

  7. 下,选择所有表

  8. 对于表列权限,在表权限下选择选择描述

  9. 可授予的权限下选择选择描述

  10. 或者,对于数据权限,如果需要进行列级别权限管理,请选择基于列的简单访问权限

  11. 选择授权

如果您尚未撤销 IAMAllowedPrincipals 的权限,则会遇到授予权限失败错误。此时,您应该可以在权限下的“数据权限”中看到目标表是通过 Amazon RAM 与使用者账户共享的。

接受 Amazon RAM 资源共享
注意

仅对基于 Amazon Web Services 账户的共享(而非基于组织的共享),需要执行此步骤。

  1. 以使用者账户数据湖管理员身份使用创建 Amazon CloudFormation 堆栈期间指定的 IAM 用户名(默认为 DatalakeAdminConsumer)和密码登录 Amazon 控制台,网址为 https://console.aws.amazon.com/connect/

  2. 在 Amazon RAM 控制台的导航窗格中,在已和我分享的“资源共享”下选择共享的 Lake Formation 资源。状态应为待处理

  3. 选择操作授权

  4. 确认资源详细信息,然后选择接受资源共享

    此时,使用者账户数据湖管理员应该能够通过 (https://console.aws.amazon.com/lakeformation/) 访问 Lake Formation 控制台,在数据目录下的数据库中找到共享资源。

为共享表创建资源链接
向使用者授予对共享表的数据权限

要向使用者授予对共享表的数据权限,请完成以下步骤:

  1. 在 Lake Formation 控制台 (https://console.aws.amazon.com/lakeformation/) 上权限下的数据湖权限中,选择授权

  2. 对于主体,选择 IAM 用户和角色,然后选择用户 DataAnalyst

  3. 对于 LF 标签或目录资源,选择命名数据目录资源

  4. 数据库下,选择数据库 lakeformation_tutorial_cross_account_database_named_resource。如果在下拉列表中看不到该数据库,请选择加载更多

  5. 下,选择表 amazon_reviews_table_named_resource

  6. 对于表和列权限,选择表权限下的选择描述

  7. 选择授权

向使用者授予对资源链接的数据权限

除了向数据湖用户授予访问共享表的权限外,您还需要向数据湖用户授予访问资源链接的权限。

  1. 在 Lake Formation 控制台 (https://console.aws.amazon.com/lakeformation/) 上权限下的数据湖权限中,选择授权

  2. 对于主体,选择 IAM 用户和角色,然后选择用户 DataAnalyst

  3. 对于 LF 标签或目录资源,选择命名数据目录资源

  4. 数据库下,选择数据库 lakeformation_tutorial_cross_account_database_consumer。如果在下拉列表中看不到该数据库,请选择加载更多

  5. 下,选择表 amazon_reviews_table_named_resource_resource_link

  6. 对于资源链接权限,在资源链接权限下选择描述

  7. 选择授权

    此时,使用者账户中的数据分析师用户应该能够找到数据库和资源链接,并通过 Athena 控制台查询共享表。

    如果不能,请确认以下配置是否正确。

    • 已为共享表创建资源链接

    • 您已授予用户访问通过制作者账户共享的表的权限

    • 您已授予用户访问资源链接和为其创建资源链接的数据库的权限