更新时间:2024-10-22 GMT+08:00
LakeFormation权限介绍
LakeFormation权限
用户可以在管理控制台的LakeFormation实例界面,针对该实例下的所有Catalog、Database、Table等数据资源,授予用户组等主体细粒度的数据访问权限。
经过以上授权操作,形成一条或多条权限策略,权限策略包含授权主体、授权对象、权限、授权权限等。
表1介绍了不同元数据类型的LakeFormation权限:
|
授权类型 |
操作类型 |
权限说明 |
|---|---|---|
|
Catalog |
ALL |
Catalog的所有操作权限。 |
|
ALTER |
修改Catalog。 |
|
|
CREATE_DATABASE |
创建数据库。 |
|
|
DROP |
删除Catalog。 |
|
|
DESCRIBE |
查看Catalog的元数据信息或切换Catalog。 |
|
|
LIST_DATABASE |
查看Catalog下资源列表。 |
|
|
数据库 |
ALL |
数据库的所有操作权限。 |
|
ALTER |
修改数据库。 |
|
|
DROP |
删除数据库。 |
|
|
DESCRIBE |
查看数据库的元数据信息或切换数据库。 |
|
|
LIST_TABLE |
查看数据库下资源列表。 |
|
|
LIST_FUNC |
查看某一数据库下的函数。 |
|
|
CREATE_TABLE |
在数据库中创建表。 |
|
|
CREATE_FUNC |
在数据库中创建函数。 |
|
|
表 |
ALL |
表的所有操作权限。 |
|
ALTER |
修改表。 |
|
|
DROP |
删除表。 |
|
|
DESCRIBE |
查看表的元数据信息。 |
|
|
UPDATE |
更新表数据。 |
|
|
INSERT |
插入表数据。 |
|
|
SELECT |
查询表内数据。 |
|
|
DELETE |
删除表的数据。 |
|
|
列 |
SELECT |
查询表内的列数据。 |
|
函数 |
ALL |
函数的所有操作权限。 |
|
ALTER |
修改函数。 |
|
|
DROP |
删除函数。 |
|
|
DESCRIBE |
查看函数的元数据信息。 |
|
|
EXEC |
执行函数。 |
|
|
路径 |
READ |
路径下文件的读权限。 |
|
WRITE |
路径下文件的写权限。 |
隐式LakeFormation权限
尽管没有在LakeFormation中进行显式的授权,但是LakeFormation管理员、数据库创建者、表创建者拥有隐式LakeFormation权限。
- LakeFormation管理员:
- LakeFormation管理员指的是拥有LakeFormation FullAccess权限的用户。
- 对于其账号下的所有元数据具有读写权限。
- 可以向任何用户、用户组、角色授予或撤销任何元数据的访问权限。
- 数据库创建者:拥有其创建的数据库的所有数据库权限,拥有其在数据库中创建表的权限,并且可以向同一IAM账号中的其他用户授予在数据库中创建表的权限。数据库创建者对其他人在数据库中创建的表不具有隐式权限。
- 表创建者:
- 具有其创建的表的所有权限。
- 可以向同一IAM账号中的主体授予对其创建的所有表的权限。
- 可以查看包含自己创建的表的数据库。
父主题: 权限管理
