第1步: 列出用户和角色的现有权限 - AWS Lake Formation
使用 API使用 AWS 管理控制台使用AWS CloudTrail
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第1步: 列出用户和角色的现有权限

开始使用 AWS Lake Formation 现有权限 AWS Glue 数据库和表,您必须首先确定用户的现有权限。

重要

开始之前,请确保您已完成 设置 AWS Lake Formation.

使用 API

使用 AWS Identity and Access Management (人IAM) ListPoliciesGrantingServiceAccess 执行API操作以确定 IAM 附加至每个主体(用户或角色)的策略。从结果中返回的策略,您可以确定 IAM 授予主体的权限。您必须分别调用每个主体的API。

以下 AWS CLI 示例返回附加到用户的策略 glue_user1. 

aws iam list-policies-granting-service-access --arn arn:aws:iam::111122223333:user/glue_user1 --service-namespaces glue

命令返回的结果类似于以下。

{
    "PoliciesGrantingServiceAccess": [
        {
            "ServiceNamespace": "glue",
            "Policies": [
                {
                    "PolicyType": "INLINE",
                    "PolicyName": "GlueUserBasic",
                    "EntityName": "glue_user1",
                    "EntityType": "USER"
                },
                {
                    "PolicyType": "MANAGED",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonAthenaFullAccess",
                    "PolicyName": "AmazonAthenaFullAccess"
                }
            ]
        }
    ],
    "IsTruncated": false
}

使用 AWS 管理控制台

您还可以在 AWS Identity and Access Management (人IAM)控制台,在 访问顾问 选项卡 总结 页面:

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择用户角色

  3. 在列表中选择一个名称以打开它 总结 页面,然后选择 访问顾问 选项卡。

  4. 检查每个策略以确定每个用户具有权限的数据库、表和操作的组合。

    在此过程中,请记住检查除用户以外的角色,因为数据处理作业可能正在担任访问数据的角色。

使用AWS CloudTrail

确定您现有权限的另一种方法是 AWS CloudTrail 为 AWS Glue API调用,其中 additionaleventdata 日志的字段包含 insufficientLakeFormationPermissions 条目。此条目列出用户需要的数据库和表格 Lake Formation 权限执行相同的操作。

这些是数据访问日志,因此不保证它们能生成用户及其权限的综合列表。我们建议选择宽广的时间范围来捕获您的大多数用户的数据访问模式,例如,数周或数月。

有关更多信息,请参阅 CloudTrail中的使用 AWS CloudTrail User Guide 事件历史记录查看事件

接下来,你可以 Lake Formation 权限以匹配 AWS Glue 权限。请参阅第2步: 设置等效项 Lake Formation 权限