文档首页/ 湖仓构建 LakeFormation/ API参考/ 权限和授权项/ 基于策略授权的服务授权项
更新时间:2024-10-22 GMT+08:00

基于策略授权的服务授权项

云服务在IAM预置了常用授权项,称为系统策略。如果IAM系统策略无法满足授权要求,管理员可以根据各服务支持的授权项,创建IAM自定义策略来进行精细的访问控制,IAM自定义策略是对系统策略的扩展和补充。

除IAM服务外,Organizations服务中的服务控制策略(Service Control Policies,以下简称SCP)也可以使用这些授权项元素设置访问控制策略。

SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。IAM策略授予权限的有效性受SCP限制,只有在SCP允许范围内的权限才能生效。

本章节介绍IAM服务基于策略授权场景中自定义策略和组织服务中SCP使用的元素,这些元素包含了操作(Action)、资源(Resource)和条件(Condition)。

操作(Action)

操作(Action)即为策略中支持的操作项。

  • “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在策略中相应操作对应的访问级别。
  • “资源类型”列指每个操作是否支持资源级权限。
    • 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在策略语句的Resource元素中指定所有资源类型(“*”)。
    • 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。
    • 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。

    关于LakeFormation定义的资源类型的详细信息请参见资源类型(Resource)

  • “条件键”列包括了可以在策略语句的Condition元素中支持指定的键值。
    • 如果该操作项资源类型列存在值,则表示条件键仅对列举的资源类型生效。
    • 如果该操作项资源类型列没有值(-),则表示条件键对整个操作项生效。
    • 如果此列没有值(-),表示此操作不支持指定条件键。

    关于LakeFormation定义的条件键的详细信息请参见条件(Condition)

  • LakeFormation支持的操作项、API与操作项的关系请参见以下详细介绍:
  • LakeFormation支持企业项目授权的API:
    • GET /v1/{project_id}/instances
    • API请求中包含“instance_id”的API,例如:GET /v1/{project_id}/instances/{instance_id}

LakeFormation Console API

您可以在自定义策略语句的Action元素中指定LakeFormation Console API相关操作。详细操作如表1所示。

表1 LakeFormation支持的操作项

操作项

描述

访问级别

资源类型(*为必须)

条件键

lakeformation:job:create

创建LakeFormation任务的权限。

write

-

-

lakeformation:job:describe

查询LakeFormation任务的权限。

read

-

-

lakeformation:job:drop

删除LakeFormation任务的权限。

write

-

-

lakeformation:job:alter

修改LakeFormation任务的权限。

write

-

-

lakeformation:job:exec

执行LakeFormation任务的权限。

write

-

-

lakeformation:instanceJob:create

创建LakeFormation任务的权限。

write

-

-

lakeformation:instanceJob:describe

查询LakeFormation任务的权限。

read

-

-

lakeformation:instanceJob:drop

删除LakeFormation任务的权限。

write

-

-

lakeformation:instanceJob:alter

修改LakeFormation任务的权限。

write

-

-

lakeformation:instanceJob:exec

执行LakeFormation任务的权限。

write

-

-

lakeformation:instance:create

授予权限以创建实例。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

-

-

  • g:RequestTag/<tag-key>
  • g:TagKeys
  • g:EnterpriseProjectId

lakeformation:instance:describe

查询LakeFormation实例的权限。

read

-

-

lakeformation:instance:drop

授予权限以删除实例。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:alter

授予权限以变更实例。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:access:describe

查询LakeFormation接入客户端的权限。

read

-

-

lakeformation:instance:access

查询或申请接入LakeFormation实例的权限。

write

-

-

lakeformation:access:create

创建LakeFormation接入客户端的权限。

write

-

-

lakeformation:access:delete

删除LakeFormation接入客户端的权限。

write

-

-

lakeformation:agency:create

创建LakeFormation委托的权限。

write

-

-

lakeformation:agency:drop

删除LakeFormation委托的权限。

write

-

-

lakeformation:agency:describe

查询LakeFormation委托的权限。

read

-

-

lakeformation:accessService:describe

查看LakeFormation接入服务的权限。

permission_management

-

-

lakeformation:accessService:grant

授权LakeFormation接入服务的权限。

permission_management

-

-

lakeformation:accessTenant:grant

授权LakeFormation接入租户的权限。

permission_management

-

-

lakeformation:accessAgency:describe

查询LakeFormation接入委托信息的权限。

permission_management

-

-

lakeformation:agreement:describe

查看LakeFormation服务协议的权限。

permission_management

-

-

lakeformation:agreement:cancel

取消LakeFormation服务协议授权的权限。

permission_management

-

-

lakeformation:agreement:grant

授权LakeFormation服务协议的权限。

permission_management

-

-

lakeformation:obs:describe

查询OBS桶列表

read

-

-

lakeformation:tag:describe

查询LakeFormation预定义资源标签的权限。

read

-

-

lakeformation:instance:createSubscriber

授予权限以新增元数据事件订阅者。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:deleteSubscriber

授予权限以删除元数据事件订阅者。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation::authorizeLocation

授予权限以将obs路径授权给LakeFormation服务。

permission_management

-

-

lakeformation::listAuthorizedLocation

授予权限以查询已授权给LakeFormation服务的OBS路径。

list

-

-

lakeformation::cancelAuthorizeLocation

授予权限以从LakeFormation服务中取消授权OBS路径。

permission_management

-

-

lakeformation:instance:list

授予权限以查询实例列表。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:listLifecycle

授予权限以查询实例级生命周期规则。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:alterLifecycle

授予权限以修改实例级生命周期规则。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:show

授予权限以查询实例详情。

read

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:recover

授予权限以恢复实例。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:createJob

授予权限以湖仓构建任务。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:listJob

授予权限以查询lakeformation任务列表。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:showJob

授予权限以查询湖仓构建任务及日志。

read

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:dropJob

授予权限以删除湖仓构建任务。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:alterJob

授予权限以变更湖仓构建任务。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:startJob

授予权限以开始湖仓构建任务。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:stopJob

授予权限以停止湖仓构建任务。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation::grantAccessService

授予权限以接入服务。

permission_management

-

-

lakeformation::showAccessService

授予权限以查询租户接入服务。

read

-

-

lakeformation::createAgreement

授予权限以注册用户协议。

permission_management

-

-

lakeformation::showAgreement

授予权限以查询用户协议。

read

-

-

lakeformation::cancelAgreement

授予权限以取消用户授权。

permission_management

-

-

lakeformation:instance:listAccess

授予权限以查询接入信息列表。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:createAccess

授予权限以接入湖仓构建实例。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

-

lakeformation:vpcepIds

lakeformation:instance:listAccessClient

授予权限以查询接入客户端列表。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:createAccessClient

授予权限以创建接入客户端。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

-

lakeformation:vpcId

lakeformation:instance:showAccessClient

授予权限以查询湖仓构建实例的接入客户端。

read

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:deleteAccessClient

授予权限以删除湖仓构建实例的接入客户端。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:alterAccessClient

授予权限以修改湖仓构建实例的接入客户端。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation::listTag

授予权限以查询所有的标签。

list

-

-

lakeformation:instance:alterInstanceTag

授予权限以新增、修改或删除湖仓构建实例的标签。

tagging

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

-

  • g:RequestTag/<tag-key>
  • g:TagKeys

lakeformation::createAgency

授予权限以给湖仓构建服务创建委托。

write

-

-

lakeformation::showAgency

授予权限以查询给湖仓构建服务创建的委托。

read

-

-

lakeformation::dropAgency

授予权限以删除给湖仓构建服务创建的委托。

write

-

-

lakeformation:instance:createInstance

授予权限以创建实例。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

-

-

  • g:RequestTag/<tag-key>
  • g:TagKeys
  • g:EnterpriseProjectId

lakeformation:instance:update

授予权限以变更实例。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation::tagResource

授予权限以给资源打标签。

tagging

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

-

  • g:RequestTag/<tag-key>
  • g:TagKeys

lakeformation::unTagResource

授予权限以移除资源标签。

tagging

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

-

  • g:RequestTag/<tag-key>
  • g:TagKeys

lakeformation::listResourcesByTag

授予权限以根据标签查询资源。

list

-

  • g:RequestTag/<tag-key>
  • g:TagKeys

lakeformation::listTagsForResource

查询单个资源上的标签。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

LakeFormation Console API通常对应着一个或多个操作项。表2展示了API与操作项的关系,以及该API需要依赖的操作项。

表2 API与操作项的关系

API

对应的操作项

依赖的操作项

POST /v1/{project_id}/instances

lakeformation:instance:createInstance

-

GET /v1/{project_id}/instances

lakeformation:instance:list

-

GET /v1/{project_id}/instances/{instance_id}

lakeformation:instance:show

-

PUT /v1/{project_id}/instances/{instance_id}

lakeformation:instance:update

-

POST /v1/{project_id}/instances/{instance_id}/default

lakeformation:instance:update

-

POST /v1/{project_id}/instances/{instance_id}/scale

lakeformation:instance:update

-

POST /v1/{project_id}/instances/{instance_id}/recover

lakeformation:instance:recover

-

POST /v1/{project_id}/access-service

lakeformation::grantAccessService

-

GET /v1/{project_id}/access-service

lakeformation::showAccessService

-

DELETE /v1/{project_id}/instances/{instance_id}

lakeformation:instance:drop

-

POST /v1/{project_id}/agreement

lakeformation:agreement:grant

-

GET /v1/{project_id}/agreement

lakeformation:agreement:describe

-

DELETE /v1/{project_id}/agreement

lakeformation:agreement:cancel

-

GET /v1/{project_id}/obs/buckets

lakeformation:obs:describe

obs:bucket:ListAllMyBuckets

GET /v1/{project_id}/obs/buckets/{bucket_name}

lakeformation:obs:describe

  • obs:bucket:ListBucket
  • obs:bucket:HeadBucket

GET /v1/{project_id}/instances/{instance_id}/access

lakeformation:instance:listAccess

-

POST /v1/{project_id}/instances/{instance_id}/access

lakeformation:instance:createAccess

-

GET /v1/{project_id}/instances/{instance_id}/access-clients

lakeformation:instance:listAccessClient

-

POST /v1/{project_id}/instances/{instance_id}/access-clients

lakeformation:instance:createAccessClient

-

GET /v1/{project_id}/instances/{instance_id}/access-clients/{client_id}

lakeformation:instance:showAccessClient

-

DELETE /v1/{project_id}/instances/{instance_id}/access-clients/{client_id}

lakeformation:instance:deleteAccessClient

-

PUT /v1/{project_id}/instances/{instance_id}/access-clients/{client_id}

lakeformation:instance:alterAccessClient

-

POST /v1/{project_id}/agency

lakeformation:agency:create

-

DELETE /v1/{project_id}/agency

lakeformation:agency:drop

-

GET /v1/{project_id}/agency

lakeformation:agency:describe

-

PUT /v1/{project_id}/instances/{instance_id}/tags

lakeformation:instance:alterInstanceTag

-

-

lakeformation:instance:listLifecycle

-

-

lakeformation:instance:alterLifecycle

-

POST /v1/{project_id}/instances/{instance_id}/metadata-event/subscribers

lakeformation:instance:createSubscriber

-

DELETE /v1/{project_id}/instances/{instance_id}/metadata-event/subscribers/{subscriber_name}

lakeformation:instance:deleteSubscriber

-

POST /v1/authorize-location

lakeformation::authorizeLocation

-

GET /v1/authorize-location

lakeformation::listAuthorizedLocation

-

POST /v1/cancel-authorize-location

lakeformation::cancelAuthorizeLocation

-

POST /v1/{project_id}/instances/{instance_id}/lf-jobs

lakeformation:instance:createJob

-

GET /v1/{project_id}/instances/{instance_id}/lf-jobs

lakeformation:instance:listJob

-

DELETE /v1/{project_id}/instances/{instance_id}/lf-jobs/{job_id}

lakeformation:instance:dropJob

-

GET /v1/{project_id}/instances/{instance_id}/lf-jobs/{job_id}

lakeformation:instance:showJob

-

PUT /v1/{project_id}/instances/{instance_id}/lf-jobs/{job_id}

lakeformation:instance:alterJob

-

POST /v1/{project_id}/instances/{instance_id}/lf-jobs/{job_id}/start

lakeformation:instance:startJob

-

POST /v1/{project_id}/instances/{instance_id}/lf-jobs/{job_id}/stop

lakeformation:instance:stopJob

-

GET /v1/{project_id}/instances/{instance_id}/lf-jobs/{job_id}/log

lakeformation:instance:showJob

-

GET /v1/{project_id}/instances/{instance_id}/lf-jobs/{job_id}/history

lakeformation:instance:showJob

-

POST /v2/agreement

lakeformation::createAgreement

-

GET /v2/agreement

lakeformation::showAgreement

-

DELETE /v2/agreement

lakeformation::cancelAgreement

-

POST /v2/agency

lakeformation::createAgency

  • iam:agencies:listAgencies
  • iam:permissions:listRolesForAgency
  • iam:permissions:listRolesForAgencyOnProject
  • iam:roles:listRoles
  • iam:agencies:createAgency
  • iam:agencies:updateAgency
  • iam:permissions:grantRoleToAgencyOnProject

DELETE /v2/agency

lakeformation::dropAgency

  • iam:agencies:deleteAgency
  • iam:agencies:listAgencies

GET /v2/agency

lakeformation::showAgency

iam:agencies:listAgencies

GET /v1/{project_id}/lakeformation-instance/tags

lakeformation::listTag

-

-

lakeformation::listResourcesByTag

-

-

lakeformation::listResourcesByTag

-

-

lakeformation::tagResource

-

-

lakeformation::unTagResource

-

-

lakeformation::listTagsForResource

-

LakeFormation LakeCat API

您可以在自定义策略语句的Action元素中指定LakeFormation LakeCat API相关操作。详细操作如表3所示。

表3 LakeFormation支持的操作项

操作项

描述

访问级别

资源类型(*为必须)

条件键

lakeformation:model:describe

查询LakeFormation元数据的模型的权限。

read

-

-

lakeformation:model:create

授予权限以创建模型。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:model:<instance-id>/<catalog-name>/<model-name> *

-

lakeformation:model:alter

授予权限以修改模型。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:model:<instance-id>/<catalog-name>/<model-name> *

-

lakeformation:model:drop

授予权限以删除模型。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:model:<instance-id>/<catalog-name>/<model-name> *

-

lakeformation:model:describeFile

查询LakeFormation元数据的模型文件的权限。

read

-

-

lakeformation:model:createFile

授予权限以创建元模型文件。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:model:<instance-id>/<catalog-name>/<model-name> *

-

lakeformation:model:alterFile

授予权限以修改元模型文件。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:model:<instance-id>/<catalog-name>/<model-name> *

-

lakeformation:model:dropFile

授予权限以删除元模型文件。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:model:<instance-id>/<catalog-name>/<model-name> *

-

lakeformation:dataset:describe

查询LakeFormation元数据的数据集的权限。

read

-

-

lakeformation:dataset:create

授予权限以创建数据集。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:dataset:<instance-id>/<catalog-name>/<dataset-name> *

-

lakeformation:dataset:alter

授予权限以修改数据集。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:dataset:<instance-id>/<catalog-name>/<dataset-name> *

-

lakeformation:dataset:drop

授予权限以删除数据集。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:dataset:<instance-id>/<catalog-name>/<dataset-name> *

-

lakeformation:dataset:describeFileGroup

查询LakeFormation元数据的数据集文件分组的权限。

read

-

-

lakeformation:dataset:createFileGroup

授予权限以创建数据集文件组。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:dataset:<instance-id>/<catalog-name>/<dataset-name> *

-

lakeformation:dataset:alterFileGroup

授予权限以修改数据集文件组。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:dataset:<instance-id>/<catalog-name>/<dataset-name> *

-

lakeformation:dataset:dropFileGroup

授予权限以删除数据集文件组。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:dataset:<instance-id>/<catalog-name>/<dataset-name> *

-

lakeformation:dataset:describeFile

查询LakeFormation元数据的数据集文件的权限。

read

-

-

lakeformation:dataset:createFile

授予权限以创建数据集文件。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:dataset:<instance-id>/<catalog-name>/<dataset-name> *

-

lakeformation:dataset:alterFile

授予权限以修改数据集文件。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:dataset:<instance-id>/<catalog-name>/<dataset-name> *

-

lakeformation:dataset:dropFile

授予权限以删除数据集文件。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:dataset:<instance-id>/<catalog-name>/<dataset-name> *

-

lakeformation:function:describe

查询LakeFormation元数据的函数的权限。

read

-

-

lakeformation:function:drop

授予权限以删除函数。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:database:<instance-id>/<catalog-name>/<database-name> *

-

lakeformation:<region>:<account-id>:table:<instance-id>/<catalog-name>/<database-name>/<table-name> *

-

lakeformation:function:alter

授予权限以修改函数。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:database:<instance-id>/<catalog-name>/<database-name> *

-

lakeformation:<region>:<account-id>:table:<instance-id>/<catalog-name>/<database-name>/<table-name> *

-

lakeformation:function:create

授予权限以创建函数。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:database:<instance-id>/<catalog-name>/<database-name> *

-

lakeformation:<region>:<account-id>:table:<instance-id>/<catalog-name>/<database-name>/<table-name> *

-

lakeformation:catalog:describe

查询LakeFormation元数据的数据目录的权限。

read

-

-

lakeformation:catalog:create

授予权限以创建数据目录。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:catalog:alter

授予权限以修改数据目录。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:catalog:drop

授予权限以删除数据目录。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:database:describe

查询LakeFormation元数据的数据库的权限。

read

-

-

lakeformation:database:create

授予权限以创建数据库。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:database:<instance-id>/<catalog-name>/<database-name> *

-

lakeformation:database:alter

授予权限以修改数据库。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:database:<instance-id>/<catalog-name>/<database-name> *

-

lakeformation:database:drop

授予权限以删除数据库。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:database:<instance-id>/<catalog-name>/<database-name> *

-

lakeformation:table:describe

查询LakeFormation元数据的数据表的权限。

read

-

-

lakeformation:table:alter

授予权限以修改数据库表详情,包括分区信息、列统计信息、表数据概况。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:database:<instance-id>/<catalog-name>/<database-name> *

-

lakeformation:<region>:<account-id>:table:<instance-id>/<catalog-name>/<database-name>/<table-name> *

-

lakeformation:table:create

授予权限以创建数据库表。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:database:<instance-id>/<catalog-name>/<database-name> *

-

lakeformation:<region>:<account-id>:table:<instance-id>/<catalog-name>/<database-name>/<table-name> *

-

lakeformation:table:drop

授予权限以删除数据库表。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:database:<instance-id>/<catalog-name>/<database-name> *

-

lakeformation:<region>:<account-id>:table:<instance-id>/<catalog-name>/<database-name>/<table-name> *

-

lakeformation:transaction:operate

操作LakeFormation事务的权限。

write

-

-

lakeformation:user:describe

查询LakeFormation用户以及关联角色关系的权限。

read

-

-

lakeformation:policy:create

创建LakeFormation权限策略的权限。

write

-

-

lakeformation:policy:export

批量查询LakeFormation权限策略的权限。

read

-

-

lakeformation:policy:drop

删除LakeFormation权限策略的权限。

write

-

-

lakeformation:policy:describe

查询LakeFormation权限策略的权限。

read

-

-

lakeformation:group:describe

查询LakeFormation用户组以及关联角色关系的权限。

read

-

-

lakeformation:group:alter

修改LakeFormation用户组以及关联角色关系的权限。

write

-

-

lakeformation:instance:describe

查询LakeFormation实例的权限。

read

-

-

lakeformation:role:create

创建LakeFormation角色的权限。

write

-

-

lakeformation:role:describe

查询LakeFormation角色的权限。

read

-

-

lakeformation:role:drop

删除LakeFormation角色的权限。

write

-

-

lakeformation:role:alter

修改LakeFormation角色以及关联用户组关系的权限。

write

-

-

lakeformation:credential:describe

获取访问LakeFormation认证信息的权限。

read

-

-

lakeformation:configuration:describe

查询用户配置的权限。

read

-

-

lakeformation:user:alter

修改LakeFormation用户以及关联角色关系的权限。

write

-

-

lakeformation:tableFile:alter

修改文件的权限。

write

-

-

lakeformation:tableFile:describe

查询文件的权限。

read

-

-

lakeformation:tableFile:drop

删除文件的权限。

write

-

-

lakeformation:tableFile:create

创建文件的权限。

write

-

-

lakeformation:tableFileGroup:create

创建文件组的权限。

write

-

-

lakeformation:tableFileGroup:describe

查询文件组的权限。

read

-

-

lakeformation:tableFileGroup:alter

修改文件组的权限。

write

-

-

lakeformation:tableFileGroup:drop

删除文件组的权限。

write

-

-

lakeformation:metadata:restore

恢复元数据的权限。

write

-

-

lakeformation:metadata:clear

清除元数据的权限。

write

-

-

lakeformation:metadataEvent:describe

查询元数据事件的权限。

read

-

-

lakeformation:policy:delegate

将权限策略委托给其他授权主体的权限。

write

-

-

lakeformation:catalog:list

授予权限以查询数据目录列表。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:catalog:show

授予权限以查询数据目录详情。

read

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:database:list

授予权限以查询数据库列表。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:database:<instance-id>/<catalog-name>/<database-name> *

-

lakeformation:database:show

授予权限以查询数据库详情。

read

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:database:<instance-id>/<catalog-name>/<database-name> *

-

lakeformation:table:list

授予权限以查询数据库表列表。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:database:<instance-id>/<catalog-name>/<database-name> *

-

lakeformation:<region>:<account-id>:table:<instance-id>/<catalog-name>/<database-name>/<table-name> *

-

lakeformation:table:show

授予权限以查询数据库表详情,包括分区信息、列统计信息、表数据概况。

read

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:database:<instance-id>/<catalog-name>/<database-name> *

-

lakeformation:<region>:<account-id>:table:<instance-id>/<catalog-name>/<database-name>/<table-name> *

-

lakeformation:function:list

授予权限以查询函数列表。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:database:<instance-id>/<catalog-name>/<database-name> *

-

lakeformation:<region>:<account-id>:table:<instance-id>/<catalog-name>/<database-name>/<table-name> *

-

lakeformation:function:show

授予权限以查询函数详细信息。

read

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:database:<instance-id>/<catalog-name>/<database-name> *

-

lakeformation:<region>:<account-id>:table:<instance-id>/<catalog-name>/<database-name>/<table-name> *

-

lakeformation:model:list

授予权限以查询模型列表。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:model:<instance-id>/<catalog-name>/<model-name> *

-

lakeformation:model:show

授予权限以查询模型详情。

read

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:model:<instance-id>/<catalog-name>/<model-name> *

-

lakeformation:model:listFile

授予权限以查询元模型文件列表。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:model:<instance-id>/<catalog-name>/<model-name> *

-

lakeformation:dataset:list

授予权限以查询数据集列表。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:dataset:<instance-id>/<catalog-name>/<dataset-name> *

-

lakeformation:dataset:show

授予权限以查询数据集详情。

read

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:dataset:<instance-id>/<catalog-name>/<dataset-name> *

-

lakeformation:dataset:listFileGroup

授予权限以查询数据集文件组列表。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:dataset:<instance-id>/<catalog-name>/<dataset-name> *

-

lakeformation:dataset:showFileGroup

授予权限以查询数据集文件组详情。

read

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:dataset:<instance-id>/<catalog-name>/<dataset-name> *

-

lakeformation:dataset:listFile

授予权限以查询数据集文件列表。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name> *

-

lakeformation:<region>:<account-id>:dataset:<instance-id>/<catalog-name>/<dataset-name> *

-

lakeformation:instance:authorization

授予权限以对授权主体进行元数据授权。

permission_management

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:listPolicy

授予权限以查询元数据授权策略列表。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:revokeAuthorization

授予权限以取消元数据授权。

permission_management

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:checkPermission

授予权限以鉴权主体是否有对元数据的权限。

permission_management

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:listUser

授予权限以查询用户列表。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:bindingRole

授予权限以绑定角色到主体。

permission_management

lakeformation:<region>:<account-id>:instance:<instance-id> *

g:ResourceTag/<tag-key>

lakeformation:instance:unbindingRole

授予权限以从主体中解绑角色。

permission_management

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:updateRole

授予权限以更新主体中的角色。

permission_management

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:listPrincipalRole

授予权限以查询主体中的角色。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:listUserGroup

授予权限以查询账号的用户组列表。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:createRole

授予权限以创建角色。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:listRole

授予权限以查询角色列表。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:dropRole

授予权限以删除角色。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:describeRole

授予权限以查询角色详情。

read

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:alterRole

授予权限以修改角色。

write

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:listPrincipal

授予权限以查询角色绑定的所有主体。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:bindingPrincipal

授予权限以在角色中加入主体。

permission_management

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:unbindingPrincipal

授予权限以在角色中移除主体。

permission_management

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:updatePrincipal

授予权限以在更新角色中的主体。

permission_management

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:describeCountMeta

授予权限以查询元数据数量。

read

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:createCredential

授予为LakeFormation授权主体创建临时访问密钥的权限。

permission_management

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:listConfig

授予权限以查询用户配置列表。

list

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

lakeformation:instance:describeMetadataEvent

授予权限以获取元数据事件。

read

lakeformation:<region>:<account-id>:instance:<instance-id> *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

LakeFormation LakeCat API通常对应着一个或多个操作项。表4展示了API与操作项的关系,以及该API需要依赖的操作项。

表4 API与操作项的关系

API

对应的操作项

依赖的操作项

-

lakeformation:model:create

-

-

lakeformation:model:describe

-

-

lakeformation:model:describe

-

-

lakeformation:model:alter

-

-

lakeformation:model:drop

-

-

lakeformation:model:createFile

-

-

lakeformation:model:describeFile

-

-

lakeformation:model:alterFile

-

-

lakeformation:model:dropFile

-

-

lakeformation:dataset:create

-

-

lakeformation:dataset:describe

-

-

lakeformation:dataset:describe

-

-

lakeformation:dataset:alter

-

-

lakeformation:dataset:createFileGroup

-

-

lakeformation:dataset:describeFileGroup

-

-

lakeformation:dataset:describeFileGroup

-

-

lakeformation:dataset:alterFileGroup

-

-

lakeformation:dataset:dropFileGroup

-

-

lakeformation:dataset:describeFile

-

-

lakeformation:dataset:alterFile

-

GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/functions

lakeformation:function:describe

-

GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions/names

lakeformation:function:describe

-

GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions/{function_name}

lakeformation:function:describe

-

DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions/{function_name}

lakeformation:function:drop

-

POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions/{function_name}

lakeformation:function:alter

-

POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions

lakeformation:function:create

-

GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions

lakeformation:function:describe

-

-

lakeformation:function:describe

-

GET /v1/{project_id}/instances/{instance_id}/catalogs

lakeformation:catalog:describe

-

-

lakeformation:catalog:describe

-

POST /v1/{project_id}/instances/{instance_id}/catalogs

lakeformation:catalog:create

-

PUT /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}

lakeformation:catalog:alter

-

DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}

lakeformation:catalog:drop

-

GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}

lakeformation:catalog:describe

-

GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases

lakeformation:database:describe

-

-

lakeformation:database:describe

-

POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases

lakeformation:database:create

-

GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}

lakeformation:database:describe

-

PUT /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}

lakeformation:database:alter

-

DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}

lakeformation:database:drop

-

GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/names

lakeformation:database:describe

-

GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/tables

lakeformation:table:describe

-

POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/list-by-names

lakeformation:table:describe

-

GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables

lakeformation:table:describe

-

-

lakeformation:table:describe

-

POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables

lakeformation:table:create

-

GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}

lakeformation:table:describe

-

PUT /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}

lakeformation:table:alter

-

DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}

lakeformation:table:drop

-

GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/names

lakeformation:table:describe

-

POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/column-statistics/batch-get

lakeformation:table:describe

-

POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/column-statistics

lakeformation:table:alter

-

DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/column-statistics

lakeformation:table:alter

-

POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/batch-alter

lakeformation:table:alter

-

GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions

lakeformation:table:describe

-

POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/batch-create

lakeformation:table:alter

-

POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/batch-drop

lakeformation:table:alter

-

POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/batch-get

lakeformation:table:describe

-

GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/partition-names

lakeformation:table:describe

-

GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/names

lakeformation:table:describe

-

POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/column-statistics/batch-get

lakeformation:table:describe

-

POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/column-statistics

lakeformation:table:alter

-

DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/column-statistics

lakeformation:table:alter

-

GET /v1/{project_id}/instances/{instance_id}/users

lakeformation:user:describe

-

POST /v1/{project_id}/instances/{instance_id}/policies/grant

lakeformation:policy:create

-

-

lakeformation:policy:create

-

GET /v1/{project_id}/instances/{instance_id}/policies/policy

lakeformation:policy:export

-

POST /v1/{project_id}/instances/{instance_id}/policies/revoke

lakeformation:policy:drop

-

GET /v1/{project_id}/instances/{instance_id}/policies/show

lakeformation:policy:describe

-

GET /v1/{project_id}/instances/{instance_id}/policies

lakeformation:policy:export

-

GET /v1/{project_id}/instances/{instance_id}/groups

lakeformation:group:describe

-

-

lakeformation:group:alter

-

-

lakeformation:group:alter

-

-

lakeformation:group:alter

-

-

lakeformation:group:describe

-

POST /v1/{project_id}/instances/{instance_id}/metaobj/count

lakeformation:instance:describe

-

POST /v1/{project_id}/instances/{instance_id}/roles

lakeformation:role:create

-

GET /v1/{project_id}/instances/{instance_id}/roles

lakeformation:role:describe

-

DELETE /v1/{project_id}/instances/{instance_id}/roles/{role_name}

lakeformation:role:drop

-

GET /v1/{project_id}/instances/{instance_id}/roles/{role_name}

lakeformation:role:describe

-

PUT /v1/{project_id}/instances/{instance_id}/roles/{role_name}

lakeformation:role:alter

-

GET /v1/{project_id}/instances/{instance_id}/roles/names

lakeformation:role:describe

-

GET /v1/{project_id}/instances/{instance_id}/roles/{role_name}/principals

lakeformation:role:describe

-

POST /v1/{project_id}/instances/{instance_id}/roles/{role_name}/grant-principals

lakeformation:role:alter

-

POST /v1/{project_id}/instances/{instance_id}/roles/{role_name}/revoke-principals

lakeformation:role:alter

-

PUT /v1/{project_id}/instances/{instance_id}/roles/{role_name}/update-principals

lakeformation:role:alter

-

POST /v1/{project_id}/instances/{instance_id}/credential

lakeformation:credential:describe

-

GET /v1/{project_id}/instances/{instance_id}/configurations

lakeformation:configuration:describe

-

POST /v1/{project_id}/instances/{instance_id}/users/{user_name}/grant-roles

lakeformation:user:alter

-

POST /v1/{project_id}/instances/{instance_id}/users/{user_name}/revoke-roles

lakeformation:user:alter

-

PUT /v1/{project_id}/instances/{instance_id}/users/{user_name}/update-roles

lakeformation:user:alter

-

GET /v1/{project_id}/instances/{instance_id}/users/{user_name}/roles

lakeformation:user:describe

-

POST /v1/{project_id}/instances/{instance_id}/policies/check-permission

lakeformation:policy:describe

-

-

lakeformation:metadata:restore

-

-

lakeformation:metadata:clear

-

-

lakeformation:table:describe

-

-

lakeformation:table:alter

-

-

lakeformation:table:describe

-

-

lakeformation:dataset:dropFile

-

-

lakeformation:dataset:createFile

-

-

lakeformation:dataset:drop

-

资源类型(Resource)

资源类型(Resource)表示身份策略所作用的资源。如表5中的某些操作指定了可以在该操作指定的资源类型,则必须在具有该操作的身份策略语句中指定该资源的URN,身份策略仅作用于此资源;如未指定,Resource默认为“*”,则身份策略将应用到所有资源。您也可以在身份策略中设置条件,从而指定资源类型。

LakeFormation定义了以下可以在自定义身份策略的Resource元素中使用的资源类型。

表5 LakeFormation支持的资源类型

资源类型

URN

catalog

lakeformation:<region>:<account-id>:catalog:<instance-id>/<catalog-name>

database

lakeformation:<region>:<account-id>:database:<instance-id>/<catalog-name>/<database-name>

table

lakeformation:<region>:<account-id>:table:<instance-id>/<catalog-name>/<database-name>/<table-name>

function

lakeformation:<region>:<account-id>:function:<instance-id>/<catalog-name>/<database-name>/<function-name>

model

lakeformation:<region>:<account-id>:model:<instance-id>/<catalog-name>/<model-name>

dataset

lakeformation:<region>:<account-id>:dataset:<instance-id>/<catalog-name>/<dataset-name>

instance

lakeformation:<region>:<account-id>:instance:<instance-id>

条件(Condition)

LakeFormation服务不支持在策略中的条件键中配置服务级的条件键。LakeFormation可以使用适用于所有服务的全局条件键。