本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
步骤 1:列出用户和角色的现有权限
开始使用Amazon Lake Formation使用您现有的权限Amazon Glue数据库和表,必须首先确定用户的现有权限。
重要
在开始之前,请确保您已完成中的任务Lake Formation 入门。
使用 API 操作
使用Amazon Identity and Access Management(IAM)ListPoliciesGrantingServiceAccess用于确定附加到每个委托人(用户或角色)的 IAM 策略的 API 操作。根据结果中返回的策略,您可以确定授予委托人的 IAM 权限。您必须分别为每个主体调用 API。
以下Amazon CLI示例返回附加到用户的策略glue_user1
。
aws iam list-policies-granting-service-access --arn arn:aws:iam::111122223333:user/glue_user1 --service-namespaces glue
该命令返回的结果与以下内容类似。
{ "PoliciesGrantingServiceAccess": [ { "ServiceNamespace": "glue", "Policies": [ { "PolicyType": "INLINE", "PolicyName": "GlueUserBasic", "EntityName": "glue_user1", "EntityType": "USER" }, { "PolicyType": "MANAGED", "PolicyArn": "arn:aws:iam::aws:policy/AmazonAthenaFullAccess", "PolicyName": "AmazonAthenaFullAccess" } ] } ], "IsTruncated": false }
使用 Amazon Web Services Management Console
您还可以在上查看此信息Amazon Identity and Access Management(IAM) 控制台,在访问顾问用户或角色上的选项卡摘要页面:
通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择用户或角色。
-
在列表中选择一个名字来打开它摘要页面,然后选择访问顾问选项卡。
-
检查每项策略,以确定每个用户具有权限的数据库、表和操作的组合。
在此过程中,请记得除用户之外还要检查角色,因为您的数据处理任务可能会代入角色来访问数据。
使用 Amazon CloudTrail
确定现有权限的另一种方法是查看Amazon CloudTrail为了Amazon GlueAPI 调用其中additionaleventdata
日志字段包含insufficientLakeFormationPermissions
条目。此条目列出了用户需要 Lake Formation 权限才能执行相同操作的数据库和表。
这些是数据访问日志,因此不能保证它们会生成用户及其权限的完整列表。我们建议选择较宽的时间范围来捕获大多数用户的数据访问模式,例如几周或几个月。
有关更多信息,请参见使用以下方式查看活动CloudTrail事件历史在里面Amazon CloudTrail用户指南。
接下来,你可以设置 Lake Formation 权限以匹配Amazon Glue权限。请参阅步骤 2:设置等效的 Lake Formation 权限。