使用 GetResourceShares API 操作查看所有跨账户授权 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 GetResourceShares API 操作查看所有跨账户授权

如果您的企业同时使用 Amazon Glue Data Catalog 资源策略和 Lake Formation 授权来授予跨账户权限,那么在一个地方查看所有跨账户授权的唯一方法就是使用 glue:GetResourceShares API 操作。

当您使用指定资源方法向账户授予 Lake Formation 权限时, Amazon Resource Access Manager (Amazon RAM) 会创建一个 Amazon Identity and Access Management (IAM) 资源策略并将其存储在您的 Amazon 账户中。该策略授予访问资源所需的权限。 Amazon RAM 为每项跨账户授予创建单独的资源策略。您可以使用 glue:GetResourceShares API 操作查看所有这些策略。

注意

此操作还会返回数据目录资源策略。但是,如果您在数据目录设置中启用了元数据加密,并且您没有 Amazon KMS 密钥权限,则该操作将不会返回数据目录资源策略。

查看所有跨账户授权

  • 输入以下 Amazon CLI 命令。

    aws glue get-resource-policies

以下是一个资源策略示例,当您向 Amazon 账户 1111-2222-3333 授予数据库t中表的权限时,db1该策略 Amazon RAM 会创建和存储。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "glue:GetTable",
         "glue:GetTables",
         "glue:GetTableVersion",         
         "glue:GetTableVersions",
         "glue:GetPartition", 
         "glue:GetPartitions",
         "glue:BatchGetPartition",
         "glue:SearchTables"
       ],
      "Principal": {"AWS": [
        "111122223333"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:111122223333:table/db1/t"
     ]
    }
  ]
}
另请参阅: