AWS Lake Formation 入门（二）

设置您的 AWS Glue **Data Catalog**权限，以允许其他人管理数据。使用 Lake Formation 控制台授予和撤销对数据库中表的访问权限。
* 在导航窗格中，选择**Tables**。* 选择**Grant**。* 提供以下信息： 
    1.  针对 **IAM users and roles** ，选择你的用户和 **AWSGlueServiceRoleDefault**。    2.  针对**Table permissions**，选择**Select all**。
### **步骤** **7：使用 Athena 查询数据**
接下来，使用 Athena 查询数据湖中的数据。
* 在 Athena 控制台中，选择**Query Editor** ，然后选择 **zipcode-db*** 选择Tables，然后选择**zipcode** 表。* 选择Table Options （表名称右侧的三个垂直点）。* 选择Preview table。
在Athena 中执行以下查询：
SELECT * FROM “zipcode”.”zipcode” limit 10;
从以下屏幕截图中可以看到，**datalakeadmin** 用户可以查看所有数据。
![](https://d2908q01vomqb2.awsstatic-china.com/b6692ea5df920cad691c20319a6fffd7a4a766b8/2019/08/06/GettingStartedLakeFormation1.jpg)
### **步骤** **8：添加具有有限访问权限的新用户并验证结果**
此步骤显示作为数据湖管理员，您应如何设置用户，使其对特定表字段具有受限访问权限。
在 IAM 控制台中，[](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console)，该用户具有管理员权限并且称为**user1**，然后添加 **AWSLakeFormationDataAdmin** 策略。有关更多信息，请参阅“添加和删除 IAM 身份权限”。
在 Lake Formation 控制台中，向**user1**授予权限，并提供以下配置设置：
* Database: Select zipcode-db.* Table: Select zipcode.* Columns: Choose The include columns.* The include columns: Choose Jurisdiction name and Count participants.* Table permissions: Select.* Grantable permissions: Select.
以**user1**身份登录后重复步骤 7，验证受限权限的结果。如以下屏幕截图所示，user1只能查看 **datalakeadmin** 用户授予他们查看权限的列。


![](https://d2908q01vomqb2.awsstatic-china.com/b6692ea5df920cad691c20319a6fffd7a4a766b8/2019/08/06/GettingStartedLakeFormation2.jpg)
## 小结
本文向您展示了如何使用 Lake Formation 构建安全的数据湖。它提供了实施监管、语义一致性和访问控制等机制，让您的数据可以更好的被用来作分析和机器学习。
有关更多信息，请参阅以下内容：
* [](https://amazonaws-china.com/blogs/security/adhere-to-iam-best-practices-in-2016/)* [](https://amazonaws-china.com/blogs/big-data/build-a-data-lake-foundation-with-aws-glue-and-amazon-s3/)


---

**![](https://d2908q01vomqb2.awsstatic-china.com/b6692ea5df920cad691c20319a6fffd7a4a766b8/2017/10/23/gordon_100.jpg)Gordon Heinrich 是一名与全球系统集成商合作的解决方案架构师。**他与 AWS 合作伙伴和客户合作，为他们提供构建数据湖和使用 AWS 机器学习服务的架构指导。在闲暇时间，他喜欢和家人一起在科罗拉多滑雪、徒步旅行和骑山地车。