本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
授予对 Amazon DataZone 中的托管 AWS Glue Data Catalog 资产的访问权限
在 Amazon DataZone 中,针对资产的读取访问权限的订阅请求以及已批准或授权的订阅由资产所有者管理。
注意
不支持使用 AWS Lake Formation LF-TBAC 方法对 AWS Glue Data Catalog 资产进行访问管理。
不支持跨区域共享 AWS Glue Data Catalog 中的资产。
在托管 AWS Glue Data Catalog 资产的订阅请求获得批准后,Amazon DataZone 会自动将这些资产添加到项目中的所有现有数据湖环境。之后,Amazon DataZone 会代表您通过 AWS Lake Formation 授予并管理对已批准 AWS Glue Data Catalog 表的访问权限。对于订阅用户项目,授予的资产将作为您账户中的资源显示在 AWS Glue Data Catalog 中。之后,您可以使用 Amazon Athena 查询表。
注意
如果在自动将订阅的 AWS Glue Data Catalog 资产添加到现有数据湖环境后,向项目添加了一个新的数据湖环境,则必须手动将这些订阅的 AWS Glue Data Catalog 资产添加到这个新的数据湖环境中。您可以在 Amazon DataZone 数据门户中,在项目概述页面的数据选项卡中选择添加授予选项来做到这一点。
要使 Amazon DataZone 能够授予对 AWS Glue Data Catalog 表的访问权限,必须满足以下条件。
-
AWS Glue 表必须由 Lake Formation 管理,因为 Amazon DataZone 将通过管理 Lake Formation 权限来授予访问权限。
-
用于发布 AWS Glue Data Catalog 表的数据湖环境的管理访问角色必须具有以下 Lake Formation 权限:
-
对包含已发布的表的 AWS Glue 数据库的
DESCRIBE和DESCRIBE GRANTABLE权限。 -
Lake Formation 中对已发布的表的
DESCRIBE、SELECT、DESCRIBE GRANTABLE、SELECT GRANTABLE权限。
-
有关更多信息,请参阅《AWS Lake Formation Developer Guide》中的 Granting and revoking permissions on catalog resources。
