在 Amazon DataZone 中使用筛选条件授予访问权限

Amazon DataZone 通过将定义的行和列筛选条件转换为对 AWS Lake Formation 和 Amazon Redshift 的适当授权，来实现精细访问控制。下面解释了 Amazon DataZone 如何为 AWS Glue 表和 Amazon Redshift 具体化这些筛选条件。

AWS Glue 表

在对带有行和/或列筛选条件的 AWS Glue 表的订阅获得批准后，Amazon DataZone 会通过在 AWS Lake Formation 中创建带数据单元格筛选条件的授权来具体化订阅，确保订阅用户项目的成员只能根据应用于订阅的筛选条件访问他们有权访问的行和列。

Amazon DataZone 首先将 Amazon DataZone 中应用的行和列筛选条件转换为 AWS Lake Formation 数据单元格筛选条件。如果使用多个行和列筛选条件，Amazon DataZone 将联合所有列和行筛选条件，以计算行级别和列级别的有效权限。之后，Amazon DataZone 会使用有效的行和列权限来创建单个 AWS Lake Formation 数据单元格筛选条件。

创建数据单元格筛选条件后，Amazon DataZone 将使用此数据单元格筛选条件在 AWS Lake Formation 中创建只读（SELECT）权限，从而与订阅用户项目共享订阅的表。

Amazon Redshift

在对带有行和/或列筛选条件的 Amazon Redshift 表/视图的订阅获得批准后，Amazon DataZone 会通过在 Amazon Redshift 中创建范围缩小后期绑定视图来具体化订阅，确保订阅用户项目的成员只能根据应用于订阅的行和列筛选条件来访问他们有权访问的行和列。

Amazon DataZone 首先将应用于 Amazon DataZone 中订阅的行和列筛选条件转换为 Amazon Redshift 后期绑定视图。如果使用多个行和列筛选条件，Amazon DataZone 将联合所有列和行筛选条件，以计算行级别和列级别的有效权限。之后，Amazon DataZone 将使用有效的行和列权限来创建后期绑定视图。

创建后期绑定视图后，Amazon DataZone 将通过在 Amazon Redshift 中创建只读（SELECT）权限，与订阅用户项目的成员共享此视图。