管理 Amazon Glue 资源的访问权限
您可以使用有效的凭证来对自己的请求进行身份验证,但您还必须拥有适当的权限才能创建或访问 Amazon Glue 资源,如 Amazon Glue Data Catalog 中的表。
每个 Amazon 资源都归某个 Amazon 账户所有,创建和访问资源的权限由权限策略进行管理。账户管理员可以向 IAM 身份(即:用户、组和角色)附加权限策略。有些服务(例如 Amazon Glue 和 Amazon S3)还支持向资源附加权限策略。
账户管理员(或管理员用户)是具有管理权限的用户。有关更多信息,请参阅 IAM 用户指南中的 IAM 最佳实践。
在授予权限时,您要决定谁获得权限,获得对哪些资源的权限,以及您允许对这些资源执行的具体操作。
您可以授予数据访问权限,方法是使用 Amazon Glue 方法或 Amazon Lake Formation 授权。Amazon Glue 方法使用 Amazon Identity and Access Management(IAM)策略,实现精细访问控制。Lake Formation 使用更简单的 GRANT/REVOKE 权限模型,类似于关系数据库系统中的 GRANT/REVOKE 命令。
本部分介绍如何使用 Amazon Glue 方法。有关使用 Lake Formation 授权的信息,请参阅《Amazon Lake Formation 开发人员指南》中的授予 Lake Formation 权限。