Conceder permissões - AWS Lake Formation
AWS CLI exemplo de concessão de permissões em uma tabela do Amazon S3

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceder permissões

Depois de integrar suas tabelas do S3 AWS Lake Formation, você pode conceder permissões no catálogo de tabelas do S3 e nos objetos do catálogo (compartimentos de tabelas, bancos de dados, tabelas) para outras funções e usuários do IAM em sua conta. As permissões do Lake Formation permitem definir controles de acesso em granularidade em nível de tabela, coluna e linha para usuários de mecanismos analíticos integrados, como o Amazon Redshift Spectrum e o Athena.

Você pode conceder permissões usando o método de recurso nomeado ou o método de controle de acesso baseado em tags do Lake Formation (LF-TBAC). Antes de conceder permissões usando tags LF e expressões de tag LF, você deve defini-las e atribuí-las aos objetos do Data Catalog.

Para obter mais informações, consulte Gerenciar tags do LF para controle de acesso a metadados.

Você pode compartilhar bancos de dados e tabelas com AWS contas externas concedendo permissões do Lake Formation às contas externas. Os usuários podem então executar consultas e trabalhos que unem e consultam tabelas em várias contas. Quando você compartilha um recurso do catálogo com outra conta, as entidades principais dessa conta podem operar nesse recurso como se ele estivesse no respectivo Data Catalog.

Quando você compartilha bancos de dados e tabelas com contas externas, a permissão de superusuário não está disponível.

Para receber instruções detalhadas sobre como conceder permissões, consulte a seção Gerenciando permissões do Lake Formation.

AWS CLI exemplo de concessão de permissões em uma tabela do Amazon S3

aws lakeformation grant-permissions \
--cli-input-json \
'{
    "Principal": {
        "DataLakePrincipalIdentifier":"arn:aws:iam::111122223333:role/DataAnalystRole"
    },
    "Resource": {
        "Table": {
            "CatalogId":"111122223333:s3tablescatalog/amzn-s3-demo-bucket1",
            "DatabaseName":"S3 table bucket namespace <example_namespace>",
            "Name":"S3 table bucket table name <example_table>"
        }
    },
    "Permissions": [
        "SELECT"
    ]
}'

Os seguintes parâmetros devem ser inseridos no comando:

  • DataLakePrincipalIdentifier — ARN de usuário, função ou grupo do IAM para conceder permissões

  • CatalogId — ID da AWS conta de 12 dígitos que possui o Catálogo de Dados

  • DatabaseName — Nome do namespace do bucket de tabelas do Amazon S3

  • Nome: nome da tabela do bucket de Tabelas do Amazon S3.

  • Permissões: permissões a serem concedidas. As opções são: SELECT, INSERT, DELETE, DESCRIBE, ALTER, DROP, ALLL e SUPER.