使用查看所有跨账户授予 GetResourcePolicies API(原料药) Operation - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用查看所有跨账户授予 GetResourcePolicies API(原料药) Operation

如果您的企业使用 AWS Glue 数据目录 资源政策和 Lake Formation 授予,在一个地方查看所有跨账户授予的唯一方法是使用 glue:GetResourcePolicies API操作。

当您授予 Lake Formation 跨账户的权限, AWS Resource Access Manager (人AWS RAM)创建 AWS Identity and Access Management (人IAM)资源政策,并将其存储在您的 AWS 帐户。策略授予访问资源所需的权限。 AWS RAM 为每个跨帐户授予创建了单独的资源策略。您可以使用 glue:GetResourcePolicies API操作。

注意

此操作还返回 Data Catalog 资源策略。但是,如果您在中启用了元数据加密 Data Catalog 设置,但您没有 AWS KMS 操作不会返回 Data Catalog 资源策略。

查看所有跨帐户授权

  • 输入以下内容 AWS CLI 命令。

    aws glue get-resource-policies

以下是一个示例资源策略, AWS RAM 创建和存储您在表上授予权限时 t 在数据库中 db1 至 AWS 账户 1111-2222-3333. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "glue:GetTable", 
         "glue:GetTableVersion",
         "glue:GetTableVersions",
         "glue:GetPartition",
         "glue:GetPartitions",
         "glue:BatchGetPartition",
         "glue:GetTables",
         "glue:SearchTables"
       ],
      "Principal": {"AWS": [
        "111122223333"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:111122223333:table/db1/t"
     ]
    }
  ]
}
另请参见: