授予资源链接权限 - AWS Lake Formation

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予资源链接权限

按照以下步骤向 AWS 账户中的委托人授予对一个或多个资源链接的 AWS Lake Formation 权限。

创建资源链接时,只有您可以查看和访问它。(这假定没有为该数据库启用仅对此数据库中的新表使用 IAM 访问控制。) 要允许您账户中的其他主体访问资源链接,请至少授予 DESCRIBE 权限。

重要

授予对资源链接的权限不会授予对目标(链接)数据库或表的权限。您必须单独授予对目标的权限。

你可以使用 Lake Formation 控制台、API 或 AWS Command Line Interface (AWS CLI) 来授予权限。

console
使用 Lake Formation 控制台授予资源链接权限

  1. 请执行以下操作之一:

    • 对于数据库资源链接,请按照使用命名资源方法授予数据库权限中的步骤执行以下操作:

      1. 从 Data Catalog 的数据库下面的数据库列表中选择资源链接。

      2. 选择授予以打开授予权限页面。

      3. 指定要对其授予权限的主体。

      4. 目录数据库字段已填入。

    • 对于表资源链接,请按照使用命名资源方法授予表权限中的步骤执行以下操作:

      1. 从 Data Catalog 的下面的表列表中选择资源链接。

      2. 打开授予权限页面。

      3. 指定主体。

      4. 目录数据库字段已填入。

      5. 指定主体。

  2. 权限下,选择要授予的权限。(可选)选择可授予的权限。

    “权限”部分包含一个磁贴。磁贴包含一组复选框,代表要授予的资源链接权限。这些复选框包括 Drop 和 Describe。该组下方是另一组相同的复选框,代表可授予的权限。

  3. 选择授权

AWS CLI
要授予资源链接权限,请使用 AWS CLI

  • 运行 grant-permissions 命令,指定资源链接作为资源。

    此示例DESCRIBE向 AWS 账户 1111-2222-3333 中的数据库incidents-linkissues中的表资源链接datalake_user1上的用户授权。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Table": {"DatabaseName":"issues", "Name":"incidents-link"}}'
另请参见: