步骤 6:向用户提供新的 IAM 策略,以便将来访问数据湖 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 6:向用户提供新的 IAM 策略,以便将来访问数据湖

要向您的用户授予将来访问其他数据目录数据库或表的权限,您必须向他们提供以下粗粒度 Amazon Identity and Access Management (IAM) 内联策略。将该策略命名为 GlueFullReadAccess

重要

如果您在撤销 IAMAllowedPrincipals 对您的数据目录中每个数据库和表具有的 Super 权限之前将此策略附加到用户,则该用户可以查看向 IAMAllowedPrincipals 授予对其的 Super 权限的任何资源的所有元数据。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GlueFullReadAccess",
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess",
                "glue:GetTable",
                "glue:GetTables",
                "glue:SearchTables",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetPartitions"
            ],
            "Resource": "*"
        }
    ]
}
注意

本步骤和前面步骤中指定的内联策略包含最低 IAM 权限。有关数据湖管理员、数据分析师和其他角色的建议策略,请参阅 Lake Formation 角色和 IAM 权限参考

接下来继续执行步骤 7:清理现有 IAM 策略