基 Lake Formation 标签的访问控制跨账户先决条件 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

基 Lake Formation 标签的访问控制跨账户先决条件

在使用基于 Lake Formation 标签的访问控制 (LF-TBAC) 方法授予对数据目录资源的跨账户访问权限之前,必须将以下 JSON 权限对象添加到Amazon Glue Data Catalog资源策略。你必须为每个代码添加此代码Amazon您正在向其授予权限的账户。

要添加此代码,你可以使用设置上的页面Amazon Glue控制台,或glue:PutResourcePolicyAPI 操作。

Replace<recipient-account-id>使用的账户 IDAmazon收到补助金的账户,<region>其中包含要授予权限的数据库和表的数据目录的区域,以及<account-id>使用您的Amazon账户 ID。

{ "Effect": "Allow", "Action": [ "glue:*" ], "Principal": { "AWS": [ "<recipient-account-id>" ] }, "Resource": [ "arn:aws:glue:<region>:<account-id>:table/*", "arn:aws:glue:<region>:<account-id>:database/*", "arn:aws:glue:<region>:<account-id>:catalog" ], "Condition": { "Bool": { "glue:EvaluatedByLakeFormationTags": true } } }
注意

资源策略中的所有代码都必须在Statement.

{ "Version": "2012-10-17", "Statement": [] }
重要

如果您当前还使用命名资源方法授予跨账户权限,则必须设置EnableHybrid参数'true'当你调用glue:PutResourcePolicyAPI 操作。有关更多信息,请参阅 使用两者来管理跨账户权限Amazon Glue和 Lake Formation