授予資料篩選條件許可 - AWS Lake Formation

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授予資料篩選條件許可

您可以將資料篩選條件的 SELECTDESCRIBEDROP Lake Formation 許可授予委託人。

一開始,只有您可以檢視為資料表建立的資料篩選條件。若要讓其他主體檢視資料篩選條件並授予資料目錄許可,您必須:

  • 使用授予選項將資料表SELECT上的 授予委託人,並將資料篩選條件套用至授予。

  • 將資料篩選條件的 DESCRIBEDROP許可授予委託人。

您可以將 SELECT許可授予外部 AWS 帳戶。然後,該帳戶中的資料湖管理員可以將該許可授予帳戶中的其他主體。授予外部帳戶時,您必須包含授予選項,外部帳戶的管理員才能進一步將許可串聯至其帳戶中的其他使用者。授予您帳戶中的委託人時,使用授予選項進行授予是選用的。

您可以使用 AWS Lake Formation 主控台、 API 或 AWS Command Line Interface () 授予和撤銷資料篩選條件的許可AWS CLI。

Console

  1. 登入 AWS Management Console 並開啟 Lake Formation 主控台,網址為 https://https://console.aws.amazon.com/lakeformation/

  2. 在導覽窗格中的許可下,選擇資料湖許可

  3. 許可頁面上的資料許可區段中,選擇授予

  4. 授予資料許可頁面上,選擇要授予許可的委託人。

  5. 在 LF 標籤或目錄資源區段中,選擇具名資料目錄資源。然後選擇您要授予許可的資料庫、資料表和資料篩選條件。

    影像是 主控台中許可頁面的螢幕擷取畫面。隨即顯示「LF 標籤或目錄資源」區段,並選取「具名資料目錄資源」選項。在資料庫下,提供了一個值:cloudtrail。對於資料表,提供一個值:cloudtrail-logs-aws_logs。對於資料篩選條件,提供一個值:cloudtrail_lakeformation_filter。

  6. 資料篩選條件許可區段中,選擇您要授予所選委託人的許可。

    影像是 Lake Formation 主控台中許可頁面上資料篩選條件許可區段的螢幕擷取畫面。對於「資料篩選條件許可」,未選取選取許可,並選取描述和捨棄許可。在「可授予許可」下,未選取任何許可 (選取、描述、捨棄)。
AWS CLI

  • 輸入grant-permissions命令。DataCellsFilterresource引數指定 ,並為Permissions引數指定 DROP DESCRIBE或 ,並選擇性地為PermissionsWithGrantOption引數指定 或 。

    下列範例DESCRIBE使用授予選項授予資料篩選條件 datalake_user1上的使用者restrict-pharma,該選項屬於 AWS 帳戶 1111-2222-3333 中sales資料庫中的orders資料表。

    aws lakeformation grant-permissions --cli-input-json file://grant-params.json

    以下是 檔案 的內容grant-params.json

    {
    "Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
    "Resource": {
        "DataCellsFilter": {
            "TableCatalogId": "111122223333",
            "DatabaseName": "sales",
            "TableName": "orders",
            "Name": "restrict-pharma"
        }
    },
    "Permissions": ["DESCRIBE"],
    "PermissionsWithGrantOption": ["DESCRIBE"]
}