本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用具名資源方法授予資料許可
具名 Data Catalog 資源方法是一種使用集中式方法授予物件許可 AWS Glue Data Catalog 的方法,例如目錄、資料庫、資料表、資料欄和檢視。它可讓您定義以資源為基礎的政策,以控制對資料湖中特定資源的存取。
當您使用具名資源方法授予許可時,您可以指定要授予或撤銷該資源的資源類型和許可。您也可以稍後視需要撤銷許可,藉此從相關聯的資源移除許可。
您可以使用 AWS Lake Formation 主控台、APIs或 AWS Command Line Interface () 授予許可AWS CLI。
**Topics**
+ [使用具名資源方法授予目錄許可](granting-multi-catalog-permissions.md)
+ [使用具名資源方法授與資料庫許可](granting-database-permissions.md)
+ [使用具名資源方法授予資料表許可](granting-table-permissions.md)
+ [使用具名資源方法授予檢視的許可](granting-view-permissions.md)
# 使用具名資源方法授予目錄許可
下列步驟說明如何使用具名資源方法授予目錄許可。
------
#### [ Console ]
使用 Lake Formation 主控台上的**授予許可**頁面。頁面分為以下部分:
+ **委託人類型** – 您可以授予許可給特定委託人,或使用屬性標籤。
+ **委託人** – IAM 使用者、角色、IAM Identity Center 使用者和群組、SAML 使用者和群組、 AWS 帳戶、組織或組織單位以授予許可。
**依屬性的主體** – 從 IAMroles 或 IAM 工作階段標籤新增標籤鍵值對。具有相符屬性的主體可以存取指定的資源。
+ **LF 標籤或目錄資源** – 授予許可的目錄、資料庫、資料表、檢視或資源連結。
+ **許可** – 要授予的 Lake Formation 許可。
**注意**
若要授予資料庫資源連結的許可,請參閱 [授予資源連結許可](granting-link-permissions.md)。
1. 開啟**授予許可**頁面。
在 https://[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) 開啟 AWS Lake Formation 主控台,並以資料湖管理員、目錄建立者或對目錄具有**可授予許可**的 IAM 使用者身分登入。
執行以下任意一項:
+ 在導覽窗格中的**許可**下,選擇**資料許可**。然後選擇**授予**。
+ 在導覽窗格中,選擇資料**目錄**下的目錄。 ****然後,在**目錄**頁面上,選擇目錄,然後從**動作**功能表的**許可**下,選擇**授予**。
**注意**
您可以透過目錄的資源連結授予目錄許可。若要這樣做,請在**目錄**頁面上,選擇目錄連結容器,然後在**動作**功能表上,選擇**對目標授予**。如需詳細資訊,請參閱[資源連結在 Lake Formation 中如何運作](resource-links-about.md)。
1. 接著,在**委託人類型**區段中,選擇委託人或指定連接至委託人的屬性。
![\[主體類型區段包含兩個水平排列的圖磚,其中每個圖磚都包含選項按鈕和描述性文字。選項是依屬性區分的主體和主體。標題下方是主體。\]](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/grant-catalog-principal-type.png)
****指定主體****
**IAM 使用者和角色**
從 **IAM 使用者和角色清單中選擇一或多個使用者或角色**。
**IAM Identity Center**
從使用者和群組清單中選擇一或多個**使用者或群組**。選取**新增**以新增更多使用者或群組。
**SAML 使用者和群組**
對於 **SAML 和快速使用者和群組**,輸入透過 SAML 聯合的使用者或群組的一或多個 Amazon Resource Name (ARNs),或 Amazon Quick 使用者或群組ARNs。在每個 ARN 後按下 Enter 鍵。
如需如何建構 ARNs 的資訊,請參閱 [Lake Formation 授予和撤銷 AWS CLI 命令](lf-permissions-reference.md#perm-command-format)。
僅 Quick Enterprise Edition 支援 Lake Formation 與 Quick 整合。
**外部帳戶**
針對 **AWS 帳戶、 AWS organization** 或 **IAM Principal**,輸入 IAM 使用者或角色的一或多個有效 AWS 帳戶 IDs、組織 IDs、組織單位 IDs 或 ARN。在每個 ID 之後按 **Enter**。
組織 ID 包含「o-」,後面接著 10-32 個小寫字母或數字。
組織單位 ID 以「ou-」開頭,後面接著 4-32 個小寫字母或數字 (包含 OU 的根 ID)。此字串後面接著第二個「-」破折號和 8 到 32 個額外的小寫字母或數字。
****依屬性排列的主體****
**Attributes**
從 IAM 角色新增 IAM 標籤鍵/值對。
**許可範圍**
指定您要將許可授予相同帳戶或其他帳戶中具有相符屬性的委託人。
1. 在 **LF 標籤或目錄資源**區段中,選擇**具名資料目錄資源**。
![\[LF 標籤或目錄資源區段包含兩個水平排列的圖磚,其中每個圖磚都包含選項按鈕和描述性文字。這些選項是符合 LF 標籤的資源,以及具名資料目錄資源。圖磚下方有兩個下拉式清單:資料庫和資料表。資料庫下拉式清單下方有一個圖磚,其中包含選取的資料庫名稱。\]](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/grant-target-resources-catalog.png)
1. 從目錄清單中選擇一或多個**目錄**。您也可以選擇一或多個**資料庫**、**資料表**和/或**資料篩選條件**。
1. 在**目錄許可**區段中,選取許可和可授予許可。在**目錄權限**下,選取要授予的一或多個權限。
![\[許可區段的目錄許可圖磚。圖磚下方是要授予目錄許可的一組核取方塊。核取方塊包括超級使用者、建立目錄、建立資料庫、更改、捨棄、描述和超級。在該群組下方是可授予許可的另一個相同核取方塊群組。\]](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/grant-target-catalog-permissions-section.png)
選擇**超級使用者**以授予不受限制的管理權限,對目錄中的所有資源 (資料庫、資料表和檢視) 執行任何操作。
**注意**
在具有指向已註冊位置之位置屬性的目錄`Alter`上授予 `Create database`或 之後,請務必同時將位置上的資料位置許可授予委託人。如需詳細資訊,請參閱[授予資料位置許可](granting-location-permissions.md)。
1. (選用) 在**可授予許可**下,選取授予收件人可以授予其 AWS 帳戶中其他委託人的許可。當您從外部帳戶授予 IAM 主體權限時,此選項不受支援。
1. 選擇 **Grant** (授予)。
**資料許可**頁面會顯示許可詳細資訊。如果您使用 **Principals by 屬性**選項來授予許可,您可以在清單中檢視授予 `ALLPrincipals`的許可。
------
#### [ AWS CLI ]
如需使用 授予目錄許可 AWS CLI,請參閱 [建立 Amazon Redshift 聯合目錄](create-ns-catalog.md)。
------
# 使用具名資源方法授與資料庫許可
下列步驟說明如何使用具名資源方法授予資料庫許可。
------
#### [ Console ]
使用 Lake Formation 主控台上的**授予許可**頁面。頁面分為以下部分:
+ **委託人類型** – **委託人**區段包含 IAM 使用者、角色、IAM Identity Center 使用者和群組、SAML 使用者和群組、 AWS 帳戶、組織或組織單位,以授予許可。在**依屬性區分的主體**區段中,您可以指定連接到 IAM 角色之屬性的索引鍵和值。
+ **LF 標籤或目錄資源** – 授予許可的資料庫、資料表、檢視或資源連結。
+ **許可** – 要授予的 Lake Formation 許可。
**注意**
若要授予資料庫資源連結的許可,請參閱 [授予資源連結許可](granting-link-permissions.md)。
1. 開啟**授予許可**頁面。
在 https://[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) 開啟 AWS Lake Formation 主控台,並以資料湖管理員、資料庫建立者或對資料庫具有**可授予許可**的 IAM 使用者身分登入。
執行以下任意一項:
+ 在導覽窗格**的許可**下,選擇**資料許可**。然後選擇**授予**。
+ 在導覽窗格中,選擇 **Data Catalog** **下的資料庫**。然後,在**資料庫**頁面上,選擇資料庫,然後從**動作**功能表的**許可**下,選擇**授予**。
**注意**
您可以透過資料庫的資源連結授予資料庫的許可。若要這樣做,請在**資料庫**頁面上,選擇資源連結,然後在**動作**功能表上,選擇**對目標授予**。如需詳細資訊,請參閱[資源連結在 Lake Formation 中如何運作](resource-links-about.md)。
1. 在**委託人類型**區段中,使用屬性指定委託人或授予許可給委託人。
![\[主體區段包含四個圖磚。每個圖磚都包含選項按鈕和文字。\]](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/identity-center-grant-perm.png)
**IAM 使用者和角色**
從 **IAM 使用者和角色清單中選擇一或多個使用者或角色**。
**IAM Identity Center**
從使用者和群組清單中選擇一或多個**使用者或群組**。選取**新增**以新增更多使用者或群組。
**SAML 使用者和群組**
對於 **SAML 和快速使用者和群組**,輸入透過 SAML 聯合的使用者或群組的一或多個 Amazon Resource Name (ARNs),或 Amazon Quick 使用者或群組ARNs。在每個 ARN 後按下 Enter 鍵。
如需如何建構 ARNs 的資訊,請參閱 [Lake Formation 授予和撤銷 AWS CLI 命令](lf-permissions-reference.md#perm-command-format)。
僅 Quick Enterprise Edition 支援 Lake Formation 與 Quick 整合。
**外部帳戶**
針對 **AWS 帳戶、 AWS organization** 或 **IAM Principal**,輸入 IAM 使用者或角色的一或多個有效 AWS 帳戶 IDs、組織 IDs、組織單位 IDs 或 ARN。在每個 ID 之後按 **Enter**。
組織 ID 包含「o-」,後面接著 10-32 個小寫字母或數字。
組織單位 ID 以「ou-」開頭,後面接著 4-32 個小寫字母或數字 (包含 OU 的根 ID)。此字串後面接著第二個「-」破折號和 8 到 32 個額外的小寫字母或數字。
依屬性排列的委託人
指定屬性索引鍵和值 (s)。如果您選擇多個值,則會使用 OR 運算子建立屬性表達式。這表示如果指派給 IAM 角色或使用者配對的任何屬性標籤值,該角色/使用者會取得資源的存取許可。
指定您要將許可授予相同帳戶或其他帳戶中具有相符屬性的主體,以選擇許可範圍。
1. 在 **LF 標籤或目錄資源**區段中,選擇**具名資料目錄資源**。
![\[LF 標籤或目錄資源區段包含兩個水平排列的圖磚,其中每個圖磚都包含選項按鈕和描述性文字。這些選項是符合 LF 標籤的資源,以及具名資料目錄資源。圖磚下方有兩個下拉式清單:資料庫和資料表。資料庫下拉式清單下方有一個圖磚,其中包含選取的資料庫名稱。\]](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/grant-target-resources-section-2.png)
1. 從資料庫清單中選擇一或多個**資料庫**。您也可以選擇一或多個**資料表**和/或**資料篩選條件**。
1. 在**許可**區段中,選取權限和可授予的權限。在**資料庫許可**下,選取要授予的一或多個許可。
![\[許可區段包含兩個水平排列的圖磚。每個圖磚都包含選項按鈕和文字。已選取資料庫許可圖磚。另一個以資料欄為基礎的並排許可會停用,因為它與資料表許可相關。圖磚下方是一組核取方塊,用於授予資料庫許可。核取方塊包括建立資料表、更改、捨棄、描述和超級。在該群組下方是可授予許可的另一個相同核取方塊群組。\]](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/grant-target-db-permissions-section.png)
**注意**
在具有指向已註冊位置之位置屬性的資料庫`Alter`上授予 `Create Table`或 之後,請務必同時將位置上的資料位置許可授予委託人。如需詳細資訊,請參閱[授予資料位置許可](granting-location-permissions.md)。
1. (選用) 在**可授予許可**下,選取授予收件人可以授予其 AWS 帳戶中其他主體的許可。當您從外部帳戶授予 IAM 主體權限時,此選項不受支援。
1. 選擇 **Grant** (授予)。
------
#### [ AWS CLI ]
您可以使用具名資源方法和 AWS Command Line Interface () 授予資料庫許可AWS CLI。
**使用 授予資料庫許可 AWS CLI**
+ 執行`grant-permissions`命令,並指定資料庫或 Data Catalog 做為資源,視授予的許可而定。
在下列範例中,將 ** 取代為有效的 AWS 帳戶 ID。
**Example – 授予 以建立資料庫**
此範例`CREATE_DATABASE`會授予使用者 `datalake_user1`。由於授與此許可的資源是 Data Catalog,因此 命令會指定空`CatalogResource`結構做為 `resource` 參數。
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam:::user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}'
```
**Example – 授予 在指定的資料庫中建立資料表**
下一個範例會將資料庫`CREATE_TABLE`上的 授予`retail`使用者 `datalake_user1`。
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam:::user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
```
**Example – 使用授予選項授予外部 AWS 帳戶**
下一個範例`CREATE_TABLE`會將 資料庫上的授予選項授予`retail`外部帳戶 1111-2222-3333。
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
```
**Example – 授予組織**
下一個範例`ALTER`會將 資料庫上的授予選項`issues`授予組織 `o-abcdefghijkl`。
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "Database": {"Name":"issues"}}'
```
**Example - 授予相同帳戶中`ALLIAMPrincipals`的**
下一個範例會將資料庫的`CREATE_TABLE`許可授予相同帳戶中`retail`的所有主體。此選項可讓帳戶中的每個主體在資料庫中建立資料表,並建立資料表資源連結,允許整合式查詢引擎存取共用資料庫和資料表。當委託人收到跨帳戶授予,而且沒有建立資源連結的許可時,此選項特別有用。在此案例中,資料湖管理員可以建立預留位置資料庫,並將`CREATE_TABLE`許可授予`ALLIAMPrincipal`群組,讓帳戶中的每個 IAM 主體都能在預留位置資料庫中建立資源連結。
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"temp","CatalogId":"111122223333"}}'
```
**Example - 授予外部帳戶中`ALLIAMPrincipals`的**
下一個範例會將資料庫`CREATE_TABLE`上的 授予外部帳戶`retail`中的所有主體。此選項可讓帳戶中的每個主體在資料庫中建立資料表。
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail","CatalogId":"123456789012"}}'
```
**注意**
在具有指向已註冊位置之位置屬性的資料庫`ALTER`上授予 `CREATE_TABLE`或 之後,請務必同時將位置上的資料位置許可授予委託人。如需詳細資訊,請參閱[授予資料位置許可](granting-location-permissions.md)。
------
**另請參閱**
[Lake Formation 許可參考](lf-permissions-reference.md)
[授予與您帳戶共用之資料庫或資料表的許可](regranting-shared-resources.md)
[存取和檢視共用的 Data Catalog 資料表和資料庫](viewing-shared-resources.md)
# 使用具名資源方法授予資料表許可
您可以使用 Lake Formation 主控台或 AWS CLI 授予資料目錄資料表的 Lake Formation 許可。您可以授予個別資料表的許可,或使用單一授予操作,您可以授予資料庫中所有資料表的許可。
如果您授予資料庫中所有資料表的許可,則會隱含授予資料庫的`DESCRIBE`許可。然後,資料庫會出現在 主控台的**資料庫**頁面上,並由 `GetDatabases` API 操作傳回。使用屬性型存取控制 (ABAC) 時,此自動`DESCRIBE`許可授予不適用。使用屬性授予資料庫中所有資料表的許可時,Lake Formation 不會隱含地授予資料庫`DESCRIBE`許可。
當您選擇 `SELECT`做為授予許可時,您可以選擇套用資料欄篩選條件、資料列篩選條件或儲存格篩選條件。
------
#### [ Console ]
下列步驟說明如何使用 Lake Formation 主控台上的具名資源方法和授予**資料湖許可頁面來授予資料表許可**。頁面分為以下部分:
+ **委託人類型** – 要授予許可的使用者、角色 AWS 、帳戶、組織或組織單位。您也可以將許可授予具有相符屬性的主體。
+ **LF 標籤或目錄資源** – 要授予許可的資料庫、資料表或資源連結。
+ **許可** – 要授予的 Lake Formation 許可。
**注意**
若要授予資料表資源連結的許可,請參閱 [授予資源連結許可](granting-link-permissions.md)。
1. 開啟授予許可頁面。
開啟位於 https://[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) 的 AWS Lake Formation 主控台,並以資料湖管理員、資料表建立者或已透過 授予選項授予資料表許可的使用者身分登入。
執行以下任意一項:
+ 在導覽窗格中,選擇**許可下的資料****許可**。然後選擇**授予**。
+ 在導覽窗格中,選擇 **Tables** (資料表)。然後,在**資料表**頁面上,選擇資料表,然後在**動作**功能表的**許可**下,選擇**授予**。
**注意**
您可以透過資料表的資源連結授予許可。若要這樣做,請在**資料表**頁面上,選擇資源連結,然後在**動作**功能表上,選擇**對目標授予**。如需詳細資訊,請參閱[資源連結在 Lake Formation 中如何運作](resource-links-about.md)。
1. 接著,在**委託人類型**區段中,指定具有相符屬性的委託人或委託人,以授予許可。
**IAM 使用者和角色**
從 **IAM 使用者和角色清單中選擇一或多個使用者或角色**。
**IAM Identity Center**
從使用者和群組清單中選擇一或多個**使用者或群組**。
**SAML 使用者和群組**
對於 **SAML 和快速使用者和群組**,輸入透過 SAML 聯合的使用者或群組的一或多個 Amazon Resource Name (ARNs),或輸入快速使用者或群組ARNs。在每個 ARN 後按下 Enter 鍵。
如需如何建構 ARNs 的資訊,請參閱 [Lake Formation 授予和撤銷 AWS CLI 命令](lf-permissions-reference.md#perm-command-format)。
Lake Formation 與 Quick 整合僅支援 Quick Enterprise Edition。
**外部帳戶**
對於 **AWS 帳戶 、 AWS organization** 或 **IAM Principal**,輸入一或多個 AWS 帳戶 IDs、組織 IDs、組織單位 IDs 或 IAM 使用者或角色的 ARN。在每個 ID 之後按 **Enter**。
組織 ID 包含「o-」,後面接著 10-32 個小寫字母或數字。
組織單位 ID 以「ou-」開頭,後面接著 4-32 個小寫字母或數字 (包含 OU 的根 ID)。此字串後面接著第二個「-」字元和 8 到 32 個額外的小寫字母或數字。
依屬性排列的委託人
指定屬性索引鍵和值 (s)。如果您選擇多個值,則會使用 OR 運算子建立屬性表達式。這表示如果指派給 IAM 角色或使用者比對的任何屬性標籤值,該角色/使用者會取得資源的存取許可
指定您要將許可授予相同帳戶或其他帳戶中具有相符屬性的主體,以選擇許可範圍。
1. 在 **LF 標籤或目錄資源**區段中,選擇資料庫。然後選擇一或多個資料表,或**所有資料表**。
![\[LF 標籤或目錄資源區段包含兩個水平排列的圖磚,其中每個圖磚都包含選項按鈕和描述性文字。這些選項是 LF 標籤比對的資源,以及具名資料目錄資源。已選取具名資料目錄資源。圖磚下方有兩個下拉式清單:資料庫和資料表。資料庫下拉式清單下方有一個圖磚,其中包含選取的資料庫名稱。資料表下拉式清單下方有一個圖磚,其中包含選取的資料表名稱。\]](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/grant-target-resources-tables-section-2.png)
1.
**指定沒有資料篩選的許可。**
在**許可**區段中,選取要授予的資料表許可,並選擇性地選取可授予的許可。
![\[資料表和資料欄許可區段有兩個子區段:資料表許可和可授予許可。每個子區段都有每個可能的 Lake Formation 許可的核取方塊:更改、插入、捨棄、刪除、選取、描述和超級。Super 許可設定在其他許可的右側,並具有描述:「此許可允許委託人將任何許可授予左側,並取代這些可授予的許可。」\]](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/grant-table-permissions-section-no-filter.png)
如果您授予**選取**,**資料許可**區段會顯示在**資料表和資料欄許可**區段下方,預設會選取**所有資料存取**選項。接受預設值。
![\[本節包含三個水平排列的圖磚,每個圖磚都有選項按鈕和描述。選項按鈕包括:所有資料存取 (已選取)、簡易資料欄型存取,以及進階儲存格層級篩選條件。\]](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/grant-select-all-data-access.png)
1. 選擇 **Grant** (授予)。
1.
**使用資料篩選指定**選取**許可**
選取**選取**許可。請勿選取任何其他許可。
**資料許可**區段會出現在**資料表和資料欄許可**區段下方。
1. 執行以下任意一項:
+ 僅套用簡單的資料欄篩選。
1. 選擇**簡易資料欄型存取**。
![\[頂端區段是資料表和資料欄許可區段。如上述螢幕擷取畫面所述。它包含資料表許可和可授予許可的核取方塊。底部區段的資料許可具有三個水平排列的圖磚,其中每個圖磚都有選項按鈕和描述。選項包括所有資料存取、簡易資料欄型存取和進階儲存格層級篩選條件。已選取簡易資料欄型存取選項。圖磚下方是具有選擇許可篩選條件標籤的選項按鈕群組。選項包括資料欄和排除資料欄。選項群組下方是選取欄下拉式清單,下方則是可授予許可子區段,其中包含一個標示為選取的核取方塊。\]](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/grant-table-permissions-section-column-filter.png)
1. 選擇是否包含或排除資料欄,然後選擇要包含或排除的資料欄。
將許可授予外部 AWS 帳戶或組織時,僅支援包含清單。
1. (選用) 在**可授予許可**下,開啟選取許可的授予選項。
如果您包含授予選項,則授予收件人只能在您授予給他們的資料欄上授予許可。
**注意**
您也可以透過建立資料篩選條件來套用資料欄篩選,以指定資料欄篩選條件,並將所有資料列指定為資料列篩選條件。不過,這需要更多步驟。
+ 套用資料欄、資料列或儲存格篩選。
1. 選擇**進階儲存格層級篩選條件**。
![\[本節標題為資料許可,位於資料表許可區段下方。它有三個水平排列的圖磚,其中每個圖磚都有一個選項按鈕和描述。選項包括所有資料存取、簡易資料欄型存取和進階儲存格層級篩選條件。已選取進階儲存格層級篩選條件選項。圖磚下方是標籤 檢視現有許可,其中向左顯示曝光三角形。現有的許可不會公開。以下是標題為要授予之資料篩選條件的區段。標題右側有三個按鈕:重新整理、管理篩選條件和建立新篩選條件。在標題和按鈕下方是具有「尋找篩選條件」預留位置文字的文字欄位。下面是現有篩選條件的資料表。每一列左側都有一個核取方塊。欄標題為篩選條件名稱、資料表、資料庫和資料表目錄 ID。有兩個資料列。第一列中的篩選條件名稱是 restrict-pharma。第二列中的名稱是非製藥。\]](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/grant-table-permissions-section-cell-filter.png)
1. (選用) 展開 **檢視現有的許可**。
1. (選用) 選擇**建立新篩選條件**。
1. (選用) 若要檢視所列篩選條件的詳細資訊,或建立新的或刪除現有的篩選條件,請選擇**管理篩選條件**。
**資料篩選條件**頁面會在新的瀏覽器視窗中開啟。
當您在**資料篩選條件**頁面上完成時,請返回**授予許可**頁面,並視需要重新整理頁面以檢視您建立的任何新資料篩選條件。
1. 選取要套用至授予的一或多個資料篩選條件。
**注意**
如果清單中沒有資料篩選條件,表示未為選取的資料表建立資料篩選條件。
1. 選擇 **Grant** (授予)。
------
#### [ AWS CLI ]
您可以使用具名資源方法和 () AWS Command Line Interface 來授予資料表許可AWS CLI。
**使用 授予資料表許可 AWS CLI**
+ 執行`grant-permissions`命令,並將資料表指定為資源。
**Example – 授予單一資料表 - 不篩選**
下列範例`ALTER`會將 `SELECT`和 授予資料庫 `datalake_user1` 中 資料表的帳戶 AWS 1111-2222-3333 `inventory`中的使用者`retail`。
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
```
如果您在已註冊位置中對其基礎資料的資料表授予 `ALTER`許可,請務必同時將位置上的資料位置許可授予委託人。如需詳細資訊,請參閱[授予資料位置許可](granting-location-permissions.md)。
**Example – 使用授予選項授予所有資料表 - 不篩選**
下一個範例會`SELECT`授予資料庫 中所有資料表的授予選項`retail`。
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --permissions-with-grant-option "SELECT" --resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
```
**Example – 使用簡單的資料欄篩選授予**
下一個範例會在資料表 中的資料欄子集`SELECT`上授予 `persons`。它使用簡單的資料欄篩選。
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "TableWithColumns": {"DatabaseName":"hr", "Name":"persons", "ColumnNames":["family_name", "given_name", "gender"]}}'
```
**Example – 使用資料篩選條件授予**
此範例會授予 `orders`資料表`SELECT`,並套用`restrict-pharma`資料篩選條件。
```
aws lakeformation grant-permissions --cli-input-json file://grant-params.json
```
以下是檔案 的內容`grant-params.json`。
```
{
"Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
"Resource": {
"DataCellsFilter": {
"TableCatalogId": "111122223333",
"DatabaseName": "sales",
"TableName": "orders",
"Name": "restrict-pharma"
}
},
"Permissions": ["SELECT"],
"PermissionsWithGrantOption": ["SELECT"]
}
```
------
**另請參閱**
[Lake Formation 許可概觀](lf-permissions-overview.md)
[Lake Formation 中的資料篩選和儲存格層級安全性](data-filtering.md)
[Lake Formation 角色和 IAM 許可參考](permissions-reference.md)
[授予資源連結許可](granting-link-permissions.md)
[存取和檢視共用的 Data Catalog 資料表和資料庫](viewing-shared-resources.md)
# 使用具名資源方法授予檢視的許可
下列步驟說明如何使用具名資源方法和授予許可頁面來授予檢視的**許可**。頁面分為以下部分:
+ **委託人類型** – 授予許可的 IAM 使用者、角色、IAM Identity Center 使用者和群組 AWS 帳戶、組織或組織單位。您也可以將許可授予具有相符屬性的主體。
+ **LF 標籤或目錄資源** – 授予許可的資料庫、資料表、檢視或資源連結。
+ **許可** – 要授予的資料湖許可。
## 開啟**授予許可**頁面
1. 在 https://[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) 開啟 AWS Lake Formation 主控台,並以資料湖管理員、資料庫建立者或對資料庫具有**可授予許可**的 IAM 使用者身分登入。
1. 執行以下任意一項:
+ 在導覽窗格中的**許可**下,選擇**資料許可**。然後選擇**授予**。
+ 在導覽窗格中,選擇 **Data Catalog** **下的檢視**。然後,在**檢視**頁面上,選擇檢視,然後從**動作**功能表的**許可**下,選擇**授予**。
**注意**
您可以透過檢視的資源連結授予檢視許可。若要這樣做,請在**檢視**頁面上,選擇資源連結,然後在**動作**功能表上,選擇**對目標授予**。如需詳細資訊,請參閱[資源連結在 Lake Formation 中如何運作](resource-links-about.md)。
## 指定委託人類型
在**委託人類型**區段中,依屬性選擇委託人或委託人。如果您選擇主體,可使用下列選項:
**IAM 使用者和角色**
從 **IAM 使用者和角色清單中選擇一或多個使用者或角色**。
**IAM Identity Center **
從使用者和群組清單中選擇一或多個**使用者或群組**。
**SAML 使用者和群組**
對於 **SAML 和快速使用者和群組**,輸入透過 SAML 聯合的使用者或群組的一或多個 Amazon Resource Name (ARNs),或 Amazon Quick 使用者或群組ARNs。在每個 ARN 後按下 Enter 鍵。
如需如何建構 ARNs 的資訊,請參閱 [Lake Formation 授予和撤銷 AWS CLI 命令](lf-permissions-reference.md#perm-command-format)。
僅 Quick Enterprise Edition 支援 Lake Formation 與 Quick 整合。
**外部帳戶**
針對 **AWS 帳戶、 AWS organization** 或 **IAM Principal**,輸入 IAM 使用者或角色的一或多個有效 AWS 帳戶 IDs、組織 IDs、組織單位 IDs 或 ARN。在每個 ID 之後按 **Enter**。
組織 ID 包含「o-」,後面接著 10-32 個小寫字母或數字。
組織單位 ID 以「ou-」開頭,後面接著 4-32 個小寫字母或數字 (包含 OU 的根 ID)。此字串後面接著第二個「-」破折號和 8 到 32 個額外的小寫字母或數字。
**另請參閱**
+ [存取和檢視共用的 Data Catalog 資料表和資料庫](viewing-shared-resources.md)
**依屬性排列的主體**
指定屬性索引鍵和值 (s)。如果您選擇多個值,則會使用 OR 運算子建立屬性表達式。這表示如果指派給 IAM 角色或使用者相符的任何屬性標籤值,角色/使用者會取得資源的存取許可
指定您要將許可授予相同帳戶或其他帳戶中具有相符屬性的主體,以選擇許可範圍。
## 指定檢視
在 **LF 標籤或目錄資源**區段中,選擇要授予許可的一或多個檢視。
1. 選擇**具名資料目錄資源**。
1. 從檢視清單中選擇一或多個**檢視**。您也可以選擇一或多個目錄、資料庫、資料表和/或資料篩選條件。
將資料湖許可授予資料庫中`All tables`的 ,將導致承授者具有資料庫中所有資料表和檢視的許可。
## 指定許可
在**許可**區段中,選取權限和可授予的權限。
![\[許可區段具有一組核取方塊,用於檢視要授予的許可。核取方塊包括 Select、Describe、Drop 和 Super。在該群組下方是可授予許可的另一個相同核取方塊群組。\]](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/view-permissions.png)
1. 在**檢視許可**下,選取要授予的一或多個許可。
1. (選用) 在**可授予許可**下,選取授予收件人可以在其 中授予其他委託人的許可 AWS 帳戶。當您從外部帳戶授予 IAM 主體權限時,此選項不受支援。
1. 選擇 **Grant** (授予)。
**另請參閱**
[Lake Formation 許可參考](lf-permissions-reference.md)
[授予與您帳戶共用之資料庫或資料表的許可](regranting-shared-resources.md)