使用查看所有跨账户授予 GetResourcePolicies API(原料药) Operation - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用查看所有跨账户授予 GetResourcePolicies API(原料药) Operation

如果您的企业使用 AWS Glue 数据目录 资源政策和 Lake Formation 授予,在一个地方查看所有跨账户授予的唯一方法是使用 glue:GetResourcePolicies API操作。

当您授予 Lake Formation 跨账户的权限, AWS Resource Access Manager (人AWS RAM)创建 AWS Identity and Access Management (人IAM)资源政策,并将其存储在您的 AWS 帐户。策略授予访问资源所需的权限。 AWS RAM 为每个跨帐户授予创建了单独的资源策略。您可以使用 glue:GetResourcePolicies API操作。

注意

此操作还返回 Data Catalog 资源策略。但是,如果您在中启用了元数据加密 Data Catalog 设置,但您没有 AWS KMS 操作不会返回 Data Catalog 资源策略。

查看所有跨帐户授权

  • 输入以下内容 AWS CLI 命令。

    aws glue get-resource-policies

以下是一个示例资源策略, AWS RAM 创建和存储您在表上授予权限时 t 在数据库中 db1 至 AWS 账户 1111-2222-3333.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetTable", "glue:GetTableVersion", "glue:GetTableVersions", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition", "glue:GetTables", "glue:SearchTables" ], "Principal": {"AWS": [ "111122223333" ]}, "Resource": [ "arn:aws:glue:<region>:111122223333:table/db1/t" ] } ] }
另请参见: