数据权限
权限策略
用户可以在管理控制台的LakeFormation实例界面,针对该实例下的所有Catalog、Database、Table等数据资源,授予用户组等主体细粒度的数据访问权限。
经过以上授权操作,形成一条或多条权限策略。
权限策略包含授权主体、授权对象、权限、授权权限,支持取消本条权限策略的操作。
授权主体
使其具备针对某数据资源的指定访问权限的用户/用户组/角色等身份,如某一用户组、某一角色等。
授权主体类型包括“GROUP”、“ROLE”、“USER”等。
- 用户(USER):华为云IAM用户
- 用户组(GROUP):华为云IAM用户组
- 角色(ROLE):LakeFormation角色
授权对象
LakeFormation中管理的元数据对象,包含Catalog、Database、Table等数据资源,如某一数据库、某些数据表的列等。允许授权的资源类型包括“CATALOG”、“DATABASE”、“TABLE”、“COLUMN”、“FUNC”等。
- 数据目录(CATALOG):LakeFormation管理的数据目录,可以包含多个数据库。
- 数据库(DATABASE):LakeFormation管理的数据库,可以包含多个数据表或函数。
- 数据表(TABLE):LakeFormation管理的数据表,可以包含多个列。
- 列(COLUMN):LakeFormation管理的列。
- 函数(FUNC):LakeFormation管理的函数。
权限
使用户具备针对某数据资源的具体访问/操作权限,如“ALTER”、“DROP”、“ALL”等。每种资源允许被授予的权限请参考表1。
授权权限
在用户已具备针对某数据资源的某些访问/操作权限的前提下,“授权权限”使该用户能够将已具备权限再次授予给其他用户。