本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
步骤 6:向用户提供新的 IAM 策略,以便将来访问数据湖
要向您的用户授予将来访问其他数据目录数据库或表的权限,您必须向他们提供以下粗粒度 Amazon Identity and Access Management (IAM) 内联策略。将该策略命名为 GlueFullReadAccess
。
重要
如果您在撤销 IAMAllowedPrincipals
对您的数据目录中每个数据库和表具有的 Super
权限之前将此策略附加到用户,则该用户可以查看向 IAMAllowedPrincipals
授予对其的 Super
权限的任何资源的所有元数据。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GlueFullReadAccess", "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess", "glue:GetTable", "glue:GetTables", "glue:SearchTables", "glue:GetDatabase", "glue:GetDatabases", "glue:GetPartitions" ], "Resource": "*" } ] }
注意
本步骤和前面步骤中指定的内联策略包含最低 IAM 权限。有关数据湖管理员、数据分析师和其他角色的建议策略,请参阅 Lake Formation 角色和 IAM 权限参考。
接下来继续执行步骤 7:清理现有 IAM 策略。