数据权限

权限策略

用户可以在管理控制台的LakeFormation实例界面，针对该实例下的所有Catalog、Database、Table等数据资源，授予用户组等主体细粒度的数据访问权限。

经过以上授权操作，形成一条或多条权限策略。

权限策略包含授权主体、授权对象、权限、授权权限，支持取消本条权限策略的操作。

授权主体

使其具备针对某数据资源的指定访问权限的用户/用户组/角色等身份，如某一用户组、某一角色等。

授权主体类型包括“GROUP”、“ROLE”、“USER”等。

• 用户（USER）：华为云IAM用户
• 用户组（GROUP）：华为云IAM用户组
• 角色（ROLE）：LakeFormation角色

授权对象

LakeFormation中管理的元数据对象，包含Catalog、Database、Table等数据资源，如某一数据库、某些数据表的列等。允许授权的资源类型包括“CATALOG”、“DATABASE”、“TABLE”、“COLUMN”、“FUNC”等。

• 数据目录（CATALOG）：LakeFormation管理的数据目录，可以包含多个数据库。
• 数据库（DATABASE）：LakeFormation管理的数据库，可以包含多个数据表或函数。
• 数据表（TABLE）：LakeFormation管理的数据表，可以包含多个列。
• 列（COLUMN）：LakeFormation管理的列。
• 函数（FUNC）：LakeFormation管理的函数。

权限

使用户具备针对某数据资源的具体访问/操作权限，如“ALTER”、“DROP”、“ALL”等。每种资源允许被授予的权限如下：

• 数据目录（CATALOG）：全部权限（ALL）、修改（ALTER）、创建数据库（CREATE_DATABASE）、删除（DROP）
• 数据库（DATABASE）：全部权限（ALL）、修改（ALTER）、删除（DROP）、描述（DESCRIBE）、列举表（LIST_TABLE）、列举函数（LIST_FUNC）、创建表（CREATE_TABLE）、创建函数（CREATE_FUNC）
• 数据表（TABLE）：全部权限（ALL）、修改（ALTER）、删除（DROP）、描述（DESCRIBE）、更新（UPDATE）、插入（INSERT）、查询（SELECT）、删除数据（DELETE）
• 列（COLUMN）：查询（SELECT）
• 函数（FUNC）：全部权限（ALL）、修改（ALTER）、删除（DROP）、描述（DESCRIBE）、执行（EXEC）

授权权限

在用户已具备针对某数据资源的某些访问/操作权限的前提下，“授权权限”使该用户能够将已具备权限再次授予给其他用户。