As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Concessão de permissões de localização de dados (conta externa)
Siga estas etapas para conceder permissões de localização de dados a uma AWS conta ou organização externa.
Você pode conceder permissões usando o console do Lake Formation, a API ou a AWS Command Line Interface
(AWS CLI).
Antes de começar
Certifique-se de que todos os pré-requisitos de acesso entre contas sejam atendidos. Para obter mais informações, consulte Pré-requisitos.
- AWS Management Console
-
Para conceder permissões de localização de dados (conta externa, console)
-
Abra o AWS Lake Formation console em https://console.aws.amazon.com/lakeformation/. Faça login como administrador de data lake.
-
No painel de navegação, em Permissões, escolha Localizações dos dados e, em seguida, escolha Conceder.
-
Na caixa de diálogo Conceder permissões, escolha o quadro Conta externa.
-
Forneça as informações a seguir:
-
Para ID AWS da conta ou ID AWS da organização, insira números de AWS conta IDs, organização ou unidade organizacional válidos IDs.
Pressione Enter após cada ID.
O ID da organização consiste em "o-" seguido por 10 a 32 letras minúsculas ou dígitos.
Um ID de unidade organizacional consiste em "ou-" seguido de 4 a 32 letras minúsculas ou dígitos (o ID da raiz que contém a OU). Essa string é seguida por um segundo "-" (hífen) e 8 a 32 letras minúsculas ou dígitos adicionais.
-
Em Locais de armazenamento, escolha Procurar e escolha um local de armazenamento do Amazon Simple Storage Service (Amazon S3). O local deve ser registrado no Lake Formation.
-
Selecione Concedível.
-
Selecione Conceder.
- AWS CLI
-
Para conceder permissões de localização de dados (conta externa AWS CLI)
-
Para conceder permissões a uma AWS conta externa, digite um comando semelhante ao seguinte.
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'
Esse comando concede a DATA_LOCATION_ACCESS a opção de concessão à conta 1111-2222-3333 no local s3://retail/transactions/2020q1 do Amazon S3, que pertence à conta 1234-5678-9012.
Para conceder permissões a uma organização, digite um comando semelhante ao seguinte:
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{"DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'
Este comando concede a DATA_LOCATION_ACCESS a opção de concessão à organização o-abcdefghijkl no local do Amazon S3 s3://retail/transactions/2020q1, que pertence à conta 1234-5678-9012.
Para conceder permissões a um principal em uma AWS conta externa, digite um comando semelhante ao seguinte.
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3::retail/transactions/2020q1", "CatalogId": "123456789012"}}'
Esse comando é concedido DATA_LOCATION_ACCESS a uma entidade principal na conta 1111-2222-3333 na localização s3://retail/transactions/2020q1 do Amazon S3, que pertence à conta 1234-5678-9012.
O exemplo a seguir concede permissões de localização de dados a s3://retail para um grupo ALLIAMPrincipals em uma conta externa.
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "123456789012"}}'
