使用 GetResourceShares API 操作查看所有跨账户授权 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 GetResourceShares API 操作查看所有跨账户授权

如果您的企业同时使用 Amazon Glue Data Catalog 资源策略和 Lake Formation 授权来授予跨账户权限,则在一个位置查看所有跨账户授权的唯一方法就是使用 glue:GetResourceShares API 操作。

当您使用命名资源方法跨账户授予 Lake Formation 权限时,Amazon Resource Access Manager(Amazon RAM) 会创建一个 Amazon Identity and Access Management (IAM) 资源策略并将其存储在您的 Amazon 账户中。该策略授予访问资源所需的权限。Amazon RAM 为每项跨账户授权创建单独的资源策略。您可以使用 glue:GetResourceShares API 操作查看所有这些策略。

注意

此操作还会返回数据目录资源策略。如果您在数据目录设置中启用了元数据加密,并且您没有对 Amazon KMS 键的权限,则此操作不会返回数据目录资源策略。

查看所有跨账户授权

  • 输入以下 Amazon CLI 命令。

    aws glue get-resource-policies

以下是一个资源策略示例:当您向 Amazon 账户 1111-2222-3333 授予对数据库 db1 中表 t 的权限时,Amazon RAM 会执行创建和存储操作。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "glue:GetTable",
         "glue:GetTables",
         "glue:GetTableVersion",         
         "glue:GetTableVersions",
         "glue:GetPartition", 
         "glue:GetPartitions",
         "glue:BatchGetPartition",
         "glue:SearchTables"
       ],
      "Principal": {"AWS": [
        "111122223333"
      ]},
      "Resource": [
      "arn:aws:glue:us-east-1:111122223333:table/db1/t"
     ]
    }
  ]
}
另请参阅: