Visualización de todas las subvenciones entre cuentas mediante la operación GetResourceShares API - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Visualización de todas las subvenciones entre cuentas mediante la operación GetResourceShares API

Si su empresa concede permisos entre cuentas mediante una política de AWS Glue Data Catalog recursos y las subvenciones de Lake Formation, la única forma de ver todas las concesiones entre cuentas en un solo lugar es mediante la glue:GetResourceShares API operación.

Cuando concedes permisos a Lake Formation en todas las cuentas mediante el método de recurso designado, AWS Resource Access Manager (AWS RAM) crea una política de recursos AWS Identity and Access Management (IAM) y la almacena en tu AWS cuenta. La política otorga los permisos necesarios para acceder al recurso. AWS RAM crea una política de recursos independiente para cada concesión multicuenta. Puede ver todas estas políticas mediante la glue:GetResourceShares API operación.

nota

Esta operación también devuelve la política de recursos del Catálogo de datos. Sin embargo, si ha activado el cifrado de metadatos en la configuración del catálogo de datos y no tiene permiso para utilizar la AWS KMS clave, la operación no devolverá la política de recursos del catálogo de datos.

Para ver todas las concesiones entre cuentas

  • Introduzca el siguiente AWS CLI comando.

    aws glue get-resource-policies

El siguiente es un ejemplo de política de recursos que AWS RAM crea y almacena cuando se conceden permisos sobre una tabla t de la base de datos db1 a la AWS cuenta 1111-2222-3333.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "glue:GetTable",
         "glue:GetTables",
         "glue:GetTableVersion",         
         "glue:GetTableVersions",
         "glue:GetPartition", 
         "glue:GetPartitions",
         "glue:BatchGetPartition",
         "glue:SearchTables"
       ],
      "Principal": {"AWS": [
        "111122223333"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:111122223333:table/db1/t"
     ]
    }
  ]
}
Véase también: