本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 授予数据位置权限(同一账户)
按照以下步骤向 AWS 账户中的主体授予数据位置权限。您可以使用 Lake Formation 控制台、API 或 AWS Command Line Interface (AWS CLI) 授予权限。
------
#### [ AWS 管理控制台 ]
**授予数据位置权限(同一账户)**
1. 打开 AWS Lake Formation 控制台,网址为[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)。以数据湖管理员或对所需数据位置具有授予权限的主体的身份登录。
1. 在导航窗格中的**权限**下,选择**数据位置**。
1. 选择**授予**。
1. 在**授予权限**对话框中,确保选中**我的账户**磁贴。然后提供以下信息:
+ 对于 **IAM 用户和角色**,请选择一个或多个主体。
+ 对于 **SAML 和 Amazon Quick 用户和群组**,请为通过 SAML 联合的用户或群组或 Amazon Quick 用户或群组输入一个或多个 ARNs 亚马逊资源名称 (ARNs)。
一次输入一个 ARN,然后在每个 ARN 后按 **Enter**。有关如何构造的信息 ARNs,请参见[Lake Formation 授予和撤销命令 AWS CLI](lf-permissions-reference.md#perm-command-format)。
+ 对于**存储位置**,选择**浏览**,然后选择一个 Amazon Simple Storage Service (Amazon S3) 存储位置。该位置必须在 Lake Formation 中注册。再次选择**浏览**以添加其他位置。您也可以键入位置,但请确保在位置前面加上 `s3://`。
+ 对于**注册账户地点**,输入注册地点的 AWS 账户 ID。这默认为您的账户 ID。在跨账户场景中,接收者账户中的数据湖管理员在向接收者账户中的其他主体授予数据位置权限时,可以在此处指定拥有者账户。
+ (可选)要使所选主体能够授予对所选位置的数据位置权限,请选择**可授予**。
![\[在授予权限对话框中,选择了用户 datalake_user 和存储位置 s3://retail/transactions/q119。\]](http://docs.aws.amazon.com/zh_cn/lake-formation/latest/dg/images/grant-location-dialog-local.png)
1. 选择**授权**。
------
#### [ AWS CLI ]
**授予数据位置权限(同一账户)**
+ 运行 `grant-permissions` 命令,向主体授予 `DATA_LOCATION_ACCESS` 权限,并将 Amazon S3 路径指定为资源。
**Example**
以下示例向用户 `datalake_user1` 授予对 `s3://retail` 的数据位置权限。
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam:::user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail"}}'
```
**Example**
以下示例向 `ALLIAMPrincipals` 组授予对 `s3://retail` 的数据位置权限。
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "111122223333"}}'
```
------
**另请参见:**
[Lake Formation 权限参考](lf-permissions-reference.md)