第 1 步:列出用户和角色的现有权限 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 1 步:列出用户和角色的现有权限

开始使用Amazon Lake Formation拥有现有的权限Amazon Glue数据库和表,必须首先确定用户的现有权限。

重要

在您开始之前,请确保您已完成中的任务。设置 Amazon Lake Formation.

使用 API 操作

使用Amazon Identity and Access Management(IAM)ListPoliciesGrantingServiceAccess用于确定附加到每个委托人(用户或角色)的 IAM 策略的 API 操作。从结果中返回的策略中,您可以确定授予委托人的 IAM 权限。您必须分别为每个委托人调用 API。

以下Amazon CLI示例返回附加到用户的策略glue_user1.

aws iam list-policies-granting-service-access --arn arn:aws:iam::111122223333:user/glue_user1 --service-namespaces glue

该命令返回的结果类似于以下内容。

{ "PoliciesGrantingServiceAccess": [ { "ServiceNamespace": "glue", "Policies": [ { "PolicyType": "INLINE", "PolicyName": "GlueUserBasic", "EntityName": "glue_user1", "EntityType": "USER" }, { "PolicyType": "MANAGED", "PolicyArn": "arn:aws:iam::aws:policy/AmazonAthenaFullAccess", "PolicyName": "AmazonAthenaFullAccess" } ] } ], "IsTruncated": false }

使用 Amazon Web Services Management Console

您还可以在Amazon Identity and Access Management(IAM) 控制台,在访问顾问用户或角色上的选项卡摘要页:

  1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择用户角色

  3. 在列表中选择一个名称以打开其摘要页面,然后选择访问顾问选项卡。

  4. 检查每个策略以确定每个用户有权执行的数据库、表和操作的组合。

    请记住在此过程中除用户之外还要检查角色,因为您的数据处理作业可能正在承担访问数据的角色。

使用 Amazon CloudTrail

确定现有权限的另一种方法是查看Amazon CloudTrail为了Amazon GlueAPI 调用其中additionaleventdata日志的字段包含insufficientLakeFormationPermissions条目。此条目列出了用户需要 Lake Formation 权限才能采取相同操作的数据库和表。

这些是数据访问日志,因此不能保证它们会产生一个完整的用户及其权限列表。我们建议选择较宽的时间范围来捕获大多数用户的数据访问模式,例如,几周或几个月。

有关更多信息,请参阅 。使用查看事件 CloudTrail 历史事件中的Amazon CloudTrail用户指南.

接下来,您可以设置 Lake Formation 权限以匹配Amazon Glue权限。请参阅第 2 步:设置等效的 Lake Formation 权限