管理数据共享的权限 - Amazon Redshift
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

管理数据共享的权限

作为创建器集群管理员,您可以保留对正在共享的数据集的控制权。您可以将新对象添加到数据共享中或将其从数据共享中删除。您还可以授予或撤销对使用者集群的和 Amazon 账户(预览版)的整体数据共享的访问权。当权限被撤销时,使用者集群立即失去对共享对象的访问权限,并且不能在 SVV_DATASHARES 中的 INBOUND 数据共享列表中看到它们。

以下示例创建数据共享 SalesShare,向 SalesShare 添加一个表 public.tickit_sales_redshift,并将集群命名空间授予对 SalesShare 的使用权限。

CREATE DATASHARE SalesShare; ALTER DATASHARE SalesShare ADD TABLE public.tickit_sales_redshift; GRANT USAGE ON DATASHARE SalesShare TO NAMESPACE '13b8833d-17c6-4f16-8fe4-1a018f5ed00d';

对于 CREATE DATASHARE,超级用户和数据库拥有者可以创建数据共享。有关更多信息,请参阅CREATE DATASHARE。对于 ALTER DATASHARE,对要添加或删除的数据共享具有所需权限的数据共享拥有者可以更改数据共享。有关信息,请参阅 ALTER DATASHARE

作为创建器管理员,当您删除数据共享时,它将停止在使用者集群上列出。在使用者集群上通过删除的数据共享中创建的数据库和 schema 引用继续存在,其中没有对象。使用者集群管理员需要手动删除这些数据库。

在使用者方面,使用者集群管理员可以确定哪些用户和组应该访问共享数据。管理员可以在数据库或 schema 级别控制访问权限。

以下示例授予在数据库级别和 schema 级别访问共享表的权限。

GRANT USAGE ON DATABASE Sales_db TO Bob; GRANT USAGE ON SCHEMA Sales_schema TO GROUP Analyst_group;

要进一步限制访问,您可以基于共享对象创建视图,以仅显示必要的数据。然后,您可以使用这些视图向用户和组授予访问权限。