本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
第 1 步:列出用户和角色的现有权限
开始使用Amazon Lake Formation拥有现有的权限Amazon Glue数据库和表,必须首先确定用户的现有权限。
在您开始之前,请确保您已完成中的任务。设置 Amazon Lake Formation.
使用 API 操作
使用Amazon Identity and Access Management(IAM)ListPoliciesGrantingServiceAccess用于确定附加到每个委托人(用户或角色)的 IAM 策略的 API 操作。从结果中返回的策略中,您可以确定授予委托人的 IAM 权限。您必须分别为每个委托人调用 API。
以下Amazon CLI示例返回附加到用户的策略glue_user1
.
aws iam list-policies-granting-service-access --arn arn:aws:iam::111122223333:user/glue_user1 --service-namespaces glue
该命令返回的结果类似于以下内容。
{ "PoliciesGrantingServiceAccess": [ { "ServiceNamespace": "glue", "Policies": [ { "PolicyType": "INLINE", "PolicyName": "GlueUserBasic", "EntityName": "glue_user1", "EntityType": "USER" }, { "PolicyType": "MANAGED", "PolicyArn": "arn:aws:iam::aws:policy/AmazonAthenaFullAccess", "PolicyName": "AmazonAthenaFullAccess" } ] } ], "IsTruncated": false }
使用 Amazon Web Services Management Console
您还可以在Amazon Identity and Access Management(IAM) 控制台,在访问顾问用户或角色上的选项卡摘要页:
通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择用户或角色。
-
在列表中选择一个名称以打开其摘要页面,然后选择访问顾问选项卡。
-
检查每个策略以确定每个用户有权执行的数据库、表和操作的组合。
请记住在此过程中除用户之外还要检查角色,因为您的数据处理作业可能正在承担访问数据的角色。
使用 Amazon CloudTrail
确定现有权限的另一种方法是查看Amazon CloudTrail为了Amazon GlueAPI 调用其中additionaleventdata
日志的字段包含insufficientLakeFormationPermissions
条目。此条目列出了用户需要 Lake Formation 权限才能采取相同操作的数据库和表。
这些是数据访问日志,因此不能保证它们会产生一个完整的用户及其权限列表。我们建议选择较宽的时间范围来捕获大多数用户的数据访问模式,例如,几周或几个月。
有关更多信息,请参阅 。使用查看事件 CloudTrail 历史事件中的Amazon CloudTrail用户指南.
接下来,您可以设置 Lake Formation 权限以匹配Amazon Glue权限。请参阅第 2 步:设置等效的 Lake Formation 权限。