本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用具名資源方法授予目錄許可 下列步驟說明如何使用具名資源方法授予目錄許可。 ------ #### [ Console ] 使用 Lake Formation 主控台上的**授予許可**頁面。頁面分為以下部分: + **委託人類型** – 您可以授予許可給特定委託人,或使用屬性標籤。 + **委託人** – IAM 使用者、角色、IAM Identity Center 使用者和群組、SAML 使用者和群組、 AWS 帳戶、組織或組織單位以授予許可。 **依屬性的主體** – 從 IAMroles 或 IAM 工作階段標籤新增標籤鍵值對。具有相符屬性的主體可以存取指定的資源。 + **LF 標籤或目錄資源** – 授予許可的目錄、資料庫、資料表、檢視或資源連結。 + **許可** – 要授予的 Lake Formation 許可。 **注意** 若要授予資料庫資源連結的許可,請參閱 [授予資源連結許可](granting-link-permissions.md)。 1. 開啟**授予許可**頁面。 在 https://[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) 開啟 AWS Lake Formation 主控台,並以資料湖管理員、目錄建立者或對目錄具有**可授予許可**的 IAM 使用者身分登入。 執行以下任意一項: + 在導覽窗格中的**許可**下,選擇**資料許可**。然後選擇**授予**。 + 在導覽窗格中,選擇資料**目錄**下的目錄。 ****然後,在**目錄**頁面上,選擇目錄,然後從**動作**功能表的**許可**下,選擇**授予**。 **注意** 您可以透過目錄的資源連結授予目錄許可。若要這樣做,請在**目錄**頁面上,選擇目錄連結容器,然後在**動作**功能表上,選擇**對目標授予**。如需詳細資訊,請參閱[資源連結在 Lake Formation 中如何運作](resource-links-about.md)。 1. 接著,在**委託人類型**區段中,選擇委託人或指定連接至委託人的屬性。 ![\[主體類型區段包含兩個水平排列的圖磚,其中每個圖磚都包含選項按鈕和描述性文字。選項是依屬性區分的主體和主體。標題下方是主體。\]](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/grant-catalog-principal-type.png) ****指定主體**** **IAM 使用者和角色** 從 **IAM 使用者和角色清單中選擇一或多個使用者或角色**。 **IAM Identity Center** 從使用者和群組清單中選擇一或多個**使用者或群組**。選取**新增**以新增更多使用者或群組。 **SAML 使用者和群組** 對於 **SAML 和快速使用者和群組**,輸入透過 SAML 聯合的使用者或群組的一或多個 Amazon Resource Name (ARNs),或 Amazon Quick 使用者或群組ARNs。在每個 ARN 後按下 Enter 鍵。 如需如何建構 ARNs 的資訊,請參閱 [Lake Formation 授予和撤銷 AWS CLI 命令](lf-permissions-reference.md#perm-command-format)。 僅 Quick Enterprise Edition 支援 Lake Formation 與 Quick 整合。 **外部帳戶** 針對 **AWS 帳戶、 AWS organization** 或 **IAM Principal**,輸入 IAM 使用者或角色的一或多個有效 AWS 帳戶 IDs、組織 IDs、組織單位 IDs 或 ARN。在每個 ID 之後按 **Enter**。 組織 ID 包含「o-」,後面接著 10-32 個小寫字母或數字。 組織單位 ID 以「ou-」開頭,後面接著 4-32 個小寫字母或數字 (包含 OU 的根 ID)。此字串後面接著第二個「-」破折號和 8 到 32 個額外的小寫字母或數字。 ****依屬性排列的主體**** **Attributes** 從 IAM 角色新增 IAM 標籤鍵/值對。 **許可範圍** 指定您要將許可授予相同帳戶或其他帳戶中具有相符屬性的委託人。 1. 在 **LF 標籤或目錄資源**區段中,選擇**具名資料目錄資源**。 ![\[LF 標籤或目錄資源區段包含兩個水平排列的圖磚,其中每個圖磚都包含選項按鈕和描述性文字。這些選項是符合 LF 標籤的資源,以及具名資料目錄資源。圖磚下方有兩個下拉式清單:資料庫和資料表。資料庫下拉式清單下方有一個圖磚,其中包含選取的資料庫名稱。\]](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/grant-target-resources-catalog.png) 1. 從目錄清單中選擇一或多個**目錄**。您也可以選擇一或多個**資料庫**、**資料表**和/或**資料篩選條件**。 1. 在**目錄許可**區段中,選取許可和可授予許可。在**目錄權限**下,選取要授予的一或多個權限。 ![\[許可區段的目錄許可圖磚。圖磚下方是要授予目錄許可的一組核取方塊。核取方塊包括超級使用者、建立目錄、建立資料庫、更改、捨棄、描述和超級。在該群組下方是可授予許可的另一個相同核取方塊群組。\]](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/grant-target-catalog-permissions-section.png) 選擇**超級使用者**以授予不受限制的管理權限,對目錄中的所有資源 (資料庫、資料表和檢視) 執行任何操作。 **注意** 在具有指向已註冊位置之位置屬性的目錄`Alter`上授予 `Create database`或 之後,請務必同時將位置上的資料位置許可授予委託人。如需詳細資訊,請參閱[授予資料位置許可](granting-location-permissions.md)。 1. (選用) 在**可授予許可**下,選取授予收件人可以授予其 AWS 帳戶中其他委託人的許可。當您從外部帳戶授予 IAM 主體權限時,此選項不受支援。 1. 選擇 **Grant** (授予)。 **資料許可**頁面會顯示許可詳細資訊。如果您使用 **Principals by 屬性**選項來授予許可,您可以在清單中檢視授予 `ALLPrincipals`的許可。 ------ #### [ AWS CLI ] 如需使用 授予目錄許可 AWS CLI,請參閱 [建立 Amazon Redshift 聯合目錄](create-ns-catalog.md)。 ------