AWS CLI exemplo de concessão de permissões em uma tabela do Amazon S3

Conceder permissões

Depois de integrar suas tabelas do S3 AWS Lake Formation, você pode conceder permissões no catálogo de tabelas do S3 e nos objetos do catálogo (compartimentos de tabelas, bancos de dados, tabelas) para outras funções e usuários do IAM em sua conta. As permissões do Lake Formation permitem que você defina controles de acesso em granularidade em nível de tabela, coluna e linha para usuários de mecanismos analíticos integrados, como Amazon Redshift Spectrum e Athena.

Você pode conceder permissões usando o método de recurso nomeado ou o método de controle de acesso baseado em tags do Lake Formation (LF-TBAC). Antes de conceder permissões usando tags LF e expressões de tag LF, você deve defini-las e atribuí-las aos objetos do Catálogo de Dados.

Para obter mais informações, consulte Gerenciar tags do LF para controle de acesso a metadados.

Você pode compartilhar bancos de dados e tabelas com AWS contas externas concedendo permissões do Lake Formation às contas externas. Os usuários podem então executar consultas e trabalhos que unem e consultam tabelas em várias contas. Quando você compartilha um recurso de catálogo com outra conta, os diretores dessa conta podem operar nesse recurso como se o recurso estivesse em seu catálogo de dados.

Quando você compartilha bancos de dados e tabelas com contas externas, a permissão de superusuário não está disponível.

Para obter instruções detalhadas sobre como conceder permissões, consulte a Gerenciando permissões do Lake Formation seção.

AWS CLI exemplo de concessão de permissões em uma tabela do Amazon S3


aws lakeformation grant-permissions \
--cli-input-json \
'{
    "Principal": {
        "DataLakePrincipalIdentifier":"arn:aws:iam::111122223333:role/DataAnalystRole"
    },
    "Resource": {
        "Table": {
            "CatalogId":"111122223333:s3tablescatalog/amzn-s3-demo-bucket1",
            "DatabaseName":"S3 table bucket namespace <example_namespace>",
            "Name":"S3 table bucket table name <example_table>"
        }
    },
    "Permissions": [
        "SELECT"
    ]
}'

A seguir estão os parâmetros a serem incluídos no comando:

DataLakePrincipalIdentifier — ARN de usuário, função ou grupo do IAM para conceder permissões
CatalogId — ID da AWS conta de 12 dígitos que possui o Catálogo de Dados
DatabaseName — Nome do namespace do bucket de tabelas do Amazon S3
Nome — Nome da tabela do bucket da tabela Amazon S3
Permissões — Permissões para conceder. As opções incluem: SELECT, INSERT, DELETE, DESCRIBE, ALTER, DROP, ALLL e SUPER

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Registrando um bucket de tabela do Amazon S3 em outra conta AWS

Acessando tabelas compartilhadas do Amazon S3