As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Conceder permissões nos recursos do Catálogo de Dados
Você pode conceder permissões de dados aos diretores para que eles AWS Lake Formation possam criar e gerenciar recursos do Catálogo de Dados e acessar os dados subjacentes. É possível conceder Permissões de data lake em catálogos, bancos de dados, tabelas e visualizações. Ao conceder permissões em tabelas, é possível limitar o acesso a colunas ou linhas específicas da tabela para um controle de acesso ainda mais refinado.
É possível conceder permissões em catálogos, bancos de dados, tabelas e visualizações individuais ou, com uma única operação de concessão, você pode conceder permissões em todos os bancos de dados, tabelas e visualizações em um catálogo ou banco de dados. Se você conceder permissões em todas as tabelas em um banco de dados a entidades principais do IAM, estará concedendo implicitamente a permissão DESCRIBE no banco de dados. Em seguida, o banco de dados aparece na página Bancos de dados no console e é retornado pela operação da API GetDatabases. O mesmo princípio se aplica em nível de catálogo: quando você recebe permissões para bancos de dados em um catálogo, também recebe permissões DESCRIBE para esse catálogo.
Importante
A DESCRIBE permissão implícita se aplica somente ao conceder permissões aos diretores do IAM na mesma conta. AWS Em relação a recursos entre contas, você deve conceder permissões DESCRIBE explicitamente. A concessão da permissão DESCRIBE automática não se aplica quando você usa o controle de acesso por atributo (ABAC). Quando você concede permissões em todas as tabelas em um banco de dados usando atributos, o Lake Formation não concede a permissão DESCRIBE implícita ao banco de dados.
Você pode conceder permissões usando o método de recurso nomeado ou o método de controle de acesso baseado em tags do Lake Formation (LF-TBAC).
Você pode conceder permissões aos diretores nas mesmas contas Conta da AWS ou organizações externas. Quando você as concede a contas ou organizações externas, você está compartilhando objetos do Data Catalog que possui com essas contas ou organizações. As entidades principais dessas contas ou organizações podem então acessar os objetos do Data Catalog que você possui e os dados subjacentes.
nota
Atualmente, o método LF-TBAC oferece suporte à concessão de permissões entre contas para diretores Contas da AWS, organizações e unidades organizacionais () do IAM. OUs
Ao conceder permissões a contas ou organizações externas, você deve incluir a opção de concessão. Somente o administrador do data lake na conta externa pode acessar os objetos compartilhados até que o administrador conceda permissões nos objetos compartilhados a outras entidades principais na conta externa.
Você pode conceder permissões do Catálogo de Dados usando o AWS Lake Formation console, a API ou o AWS Command Line Interface (AWS CLI).
nota
Ao excluir um recurso do Data Catalog, todas as permissões associadas ao objeto se tornam inválidas. Recriar o mesmo recurso com o mesmo nome não recuperará as permissões do Lake Formation. Os usuários precisarão configurar novas permissões novamente.
Consulte também:
