オペレーションを使用した GetResourceShares APIすべてのクロスアカウント許可の表示

企業が AWS Glue Data Catalog リソースポリシーと Lake Formation 許可の両方を使用してクロスアカウント許可を付与する場合、すべてのクロスアカウント許可を 1 か所で表示するための唯一の方法は、 glue:GetResourceSharesAPIオペレーションを使用することです。

名前付きリソースメソッドを使用してアカウント間で Lake Formation のアクセス許可を付与すると、 AWS Resource Access Manager （AWS RAM) は AWS Identity and Access Management （IAM) リソースポリシーを作成し、 AWS アカウントに保存します。ポリシーは、リソースへのアクセスに必要なアクセス許可を付与します。は、クロスアカウント許可ごとに個別のリソースポリシー AWS RAM を作成します。glue:GetResourceShares API オペレーションを使用して、これらのポリシーをすべて表示できます。

注記

この操作は、Data Catalog リソースポリシーも返します。ただし、Data Catalog 設定でメタデータ暗号化を有効にし、 AWS KMS キーに対するアクセス許可がない場合、オペレーションは Data Catalog リソースポリシーを返しません。

すべてのクロスアカウント付与を表示する

次の AWS CLI コマンドを入力します。
```
aws glue get-resource-policies
```

AWS アカウント 1111-2222-3333 db1にデータベースtのテーブルに対するアクセス許可を付与するときに AWS RAM を作成して保存するリソースポリシーの例を次に示します。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "glue:GetTable",
         "glue:GetTables",
         "glue:GetTableVersion",         
         "glue:GetTableVersions",
         "glue:GetPartition", 
         "glue:GetPartitions",
         "glue:BatchGetPartition",
         "glue:SearchTables"
       ],
      "Principal": {"AWS": [
        "111122223333"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:111122223333:table/db1/t"
     ]
    }
  ]
}

以下も参照してください。

AWS Glue デベロッパーガイドのGetResourceShares アクション (Python: get_resource_policies)

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

両方を使用したクロスアカウントアクセス許可の管理 AWS Glue および Lake Formation

共有 Data Catalog テーブルとデータベースへのアクセスと表示