GetResourceShares API オペレーションを使用したすべてのクロスアカウント許可の表示

企業が AWS Glue Data Catalog リソースポリシーと Lake Formation 許可の両方を使用してクロスアカウント許可を付与する場合、すべてのクロスアカウント許可を 1 か所で表示するための唯一の方法は、 glue:GetResourceShares API オペレーションを使用することです。

名前付きリソース方式を使用してアカウント間で Lake Formation 許可を付与すると、 AWS Resource Access Manager （AWS RAM) は AWS Identity and Access Management (IAM) リソースポリシーを作成し、 AWS アカウントに保存します。このポリシーは、 resource へのアクセスに必要なアクセス許可を付与します。は、クロスアカウント付与ごとに個別のリソースポリシー AWS RAM を作成します。glue:GetResourceShares API 操作を使用することで、これらすべてのポリシーを表示することができます。

注記

この操作は、Data Catalog リソースポリシーも返します。ただし、Data Catalog 設定でメタデータ暗号化を有効にし、 AWS KMS キーに対するアクセス許可がない場合、オペレーションは Data Catalog リソースポリシーを返しません。

すべてのクロスアカウント付与を表示する

次のコマンドを入力します AWS CLI 。
```
aws glue get-resource-policies
```

データベースのテーブルに対するアクセス許可を AWS アカウント 1111-2222-3333 に付与するときに、 tが AWS RAM 作成および保存するリソースポリシーの例db1を次に示します。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "glue:GetTable",
         "glue:GetTables",
         "glue:GetTableVersion",         
         "glue:GetTableVersions",
         "glue:GetPartition", 
         "glue:GetPartitions",
         "glue:BatchGetPartition",
         "glue:SearchTables"
       ],
      "Principal": {"AWS": [
        "111122223333"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:111122223333:table/db1/t"
     ]
    }
  ]
}

以下も参照してください。

AWS Glue デベロッパーガイドのGetResourceShares アクション (Python: get_resource_policies)

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS Glue と Lake Formation の両方を使用したクロスアカウント許可の管理

共有 Data Catalog テーブルとデータベースへのアクセスと表示