更新时间:2024-10-22 GMT+08:00

LakeFormation权限介绍

LakeFormation权限

用户可以在管理控制台的LakeFormation实例界面,针对该实例下的所有Catalog、Database、Table等数据资源,授予用户组等主体细粒度的数据访问权限。

经过以上授权操作,形成一条或多条权限策略,权限策略包含授权主体、授权对象、权限、授权权限等。

表1介绍了不同元数据类型的LakeFormation权限:

表1 不同授权类型的操作权限

授权类型

操作类型

权限说明

Catalog

ALL

Catalog的所有操作权限。

ALTER

修改Catalog。

CREATE_DATABASE

创建数据库。

DROP

删除Catalog。

DESCRIBE

查看Catalog的元数据信息或切换Catalog。

LIST_DATABASE

查看Catalog下资源列表。

数据库

ALL

数据库的所有操作权限。

ALTER

修改数据库。

DROP

删除数据库。

DESCRIBE

查看数据库的元数据信息或切换数据库。

LIST_TABLE

查看数据库下资源列表。

LIST_FUNC

查看某一数据库下的函数。

CREATE_TABLE

在数据库中创建表。

CREATE_FUNC

在数据库中创建函数。

ALL

表的所有操作权限。

ALTER

修改表。

DROP

删除表。

DESCRIBE

查看表的元数据信息。

UPDATE

更新表数据。

INSERT

插入表数据。

SELECT

查询表内数据。

DELETE

删除表的数据。

SELECT

查询表内的列数据。

函数

ALL

函数的所有操作权限。

ALTER

修改函数。

DROP

删除函数。

DESCRIBE

查看函数的元数据信息。

EXEC

执行函数。

路径

READ

路径下文件的读权限。

WRITE

路径下文件的写权限。

隐式LakeFormation权限

尽管没有在LakeFormation中进行显式的授权,但是LakeFormation管理员、数据库创建者、表创建者拥有隐式LakeFormation权限。

  • LakeFormation管理员:
    • LakeFormation管理员指的是拥有LakeFormation FullAccess权限的用户。
    • 对于其账号下的所有元数据具有读写权限。
    • 可以向任何用户、用户组、角色授予或撤销任何元数据的访问权限。
  • 数据库创建者:拥有其创建的数据库的所有数据库权限,拥有其在数据库中创建表的权限,并且可以向同一IAM账号中的其他用户授予在数据库中创建表的权限。数据库创建者对其他人在数据库中创建的表不具有隐式权限。
  • 表创建者:
    • 具有其创建的表的所有权限。
    • 可以向同一IAM账号中的主体授予对其创建的所有表的权限。
    • 可以查看包含自己创建的表的数据库。