第 6 步:为用户提供新的 IAM 策略,以便future 访问数据湖 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 6 步:为用户提供新的 IAM 策略,以便future 访问数据湖

要授予您的用户将来访问其他 Data Catalog 数据库或表的权限,您必须为他们提供粗略的权限Amazon Identity and Access Management以下是 (IAM) 内联策略。将策略命名为 GlueFullReadAccess

重要

如果您在撤消之前将此策略附加到某个用户SuperIAMAllowedPrincipals在数据目录中的每个数据库和表上,该用户可以查看任何资源的所有元数据Super被授予了IAMAllowedPrincipals.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GlueFullReadAccess",
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess",
                "glue:GetTable",
                "glue:GetTables",
                "glue:SearchTables",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetPartitions"
            ],
            "Resource": "*"
        }
    ]
}
注意

此步骤和之前步骤中指定的内联策略包含最低的 IAM 权限。有关数据湖管理员、数据分析师和其他角色的建议策略,请参阅Lake Formation 角色和 IAM 权限参考.

接下来,继续步骤 7:清理现有的 IAM 策略.