本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 授予資料位置許可 (外部帳戶) 請依照下列步驟,將資料位置許可授予外部 AWS 帳戶或組織。 您可以使用 Lake Formation 主控台、API 或 AWS Command Line Interface () 來授予許可AWS CLI。 **開始之前** 確定符合所有跨帳戶存取先決條件。如需詳細資訊,請參閱[先決條件](cross-account-prereqs.md)。 ------ #### [ AWS 管理主控台 ] **授予資料位置許可 (外部帳戶、主控台)** 1. 在 https://[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) 開啟 AWS Lake Formation 主控台。以資料湖管理員身分登入。 1. 在導覽窗格**的許可**下,選擇**資料位置**,然後選擇**授予**。 1. 在**授予許可**對話方塊中,選擇**外部帳戶**圖磚。 1. 請提供下列資訊: + 針對**AWS 帳戶 ID 或 AWS 組織 ID**,輸入有效的 AWS 帳戶號碼、組織 IDs或組織單位 IDs。 在每個 ID 之後按 **Enter**。 組織 ID 包含「o-」,後面接著 10 到 32 個小寫字母或數字。 組織單位 ID 包含「ou-」,後面接著 4 到 32 個小寫字母或數字 (包含 OU 的根 ID)。此字串後面接著第二個 "-" (連字號) 和 8 到 32 個額外的小寫字母或數字。 + 在**儲存位置**下,選擇**瀏覽**,然後選擇 Amazon Simple Storage Service (Amazon S3) 儲存位置。位置必須向 Lake Formation 註冊。 ![授予許可對話方塊已選取外部帳戶選項按鈕、指定的 AWS 帳戶,以及指定的儲存位置。](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/grant-location-dialog-external.png) 1. 選取**可授予**。 1. 選擇 **Grant** (授予)。 ------ #### [ AWS CLI ] **授予資料位置許可 (外部帳戶 AWS CLI)** + 若要將許可授予外部 AWS 帳戶,請輸入類似以下的命令。 ``` aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}' ``` 此命令`DATA_LOCATION_ACCESS`使用授予選項授予 Amazon S3 位置 上的帳戶 1111-2222-3333`s3://retail/transactions/2020q1`,該位置為帳戶 1234-5678-9012 所擁有。 若要將許可授予組織,請輸入類似以下的命令。 ``` aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{"DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}' ``` 此命令`DATA_LOCATION_ACCESS`會將授予選項授予 Amazon S3 位置 `o-abcdefghijkl`上的組織`s3://retail/transactions/2020q1`,該位置為帳戶 1234-5678-9012 所擁有。 若要將許可授予外部 AWS 帳戶中的委託人,請輸入類似以下的命令。 ``` aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3::retail/transactions/2020q1", "CatalogId": "123456789012"}}' ``` 此命令`DATA_LOCATION_ACCESS`會授予帳戶 1111-2222-3333 中位於 Amazon S3 位置 的委託人`s3://retail/transactions/2020q1`,該位置為帳戶 1234-5678-9012 所擁有。 **Example** 下列範例`s3://retail`會將 上的資料位置許可授予外部帳戶中的 `ALLIAMPrincipals` 群組。 ``` aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "123456789012"}}' ``` ------ **另請參閱:** [Lake Formation 許可參考](lf-permissions-reference.md)