使用 GetResourceShares API 作業檢視所有跨帳戶授權 - AWS Lake Formation

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 GetResourceShares API 作業檢視所有跨帳戶授權

如果您的企業同時使用 AWS Glue Data Catalog 資源策略和 Lake Formation 授予跨帳戶權限,則在一個位置查看所有跨帳戶授予的唯一方法是使用 glue:GetResourceShares API 操作。

當您使用指定的資源方法跨帳戶授予 Lake Formation 權限時, AWS Resource Access Manager (AWS RAM) 會建立 AWS Identity and Access Management (IAM) 資源政策並將其儲存在您的 AWS 帳戶中。該策略授予訪問資源所需的權限。 AWS RAM 為每個跨帳號授權建立個別的資源策略。您可以使用 glue:GetResourceShares API 作業來檢視所有這些政策。

注意

此作業也會傳回資料目錄資源原則。但是,如果您在 [資料目錄] 設定中啟用中繼資料加密,且您沒有 AWS KMS 金鑰的權限,則作業將不會傳回資料目錄資源原則。

檢視所有跨帳戶撥款

  • 輸入以下 AWS CLI 命令。

    aws glue get-resource-policies

以下是當您db1將資料庫t中資料表的權限授與 AWS 帳號 1111-2222-3333 時 AWS RAM 建立並儲存的資源策略範例。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "glue:GetTable",
         "glue:GetTables",
         "glue:GetTableVersion",         
         "glue:GetTableVersions",
         "glue:GetPartition", 
         "glue:GetPartitions",
         "glue:BatchGetPartition",
         "glue:SearchTables"
       ],
      "Principal": {"AWS": [
        "111122223333"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:111122223333:table/db1/t"
     ]
    }
  ]
}
另請參閱: