使用 GetResourceShares API 操作檢視所有跨帳戶授予 - AWS Lake Formation

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 GetResourceShares API 操作檢視所有跨帳戶授予

如果您的企業使用 AWS Glue Data Catalog 資源政策和 Lake Formation 授予來授予跨帳戶許可,則在同一位置檢視所有跨帳戶授予的唯一方法是使用 glue:GetResourceSharesAPI操作。

當您使用具名資源方法跨帳戶授予 Lake Formation 許可時, AWS Resource Access Manager (AWS RAM) 會建立 AWS Identity and Access Management (IAM) 資源政策,並將其儲存在 AWS 您的帳戶中。此政策會授予存取 資源所需的許可。 會為每個跨帳戶授予 AWS RAM 建立個別的資源政策。您可以使用 glue:GetResourceSharesAPI操作來檢視所有這些政策。

注意

此操作也會傳回 Data Catalog 資源政策。不過,如果您在 Data Catalog 設定中啟用中繼資料加密,而且您沒有 AWS KMS 金鑰的許可,則操作不會傳回 Data Catalog 資源政策。

檢視所有跨帳戶授予

  • 輸入下列 AWS CLI 命令。

    aws glue get-resource-policies

以下是範例資源政策,當您db1t資料庫中資料表的許可授予 AWS 帳戶 1111-2222-3333 時,該政策 AWS RAM 會建立和存放。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "glue:GetTable",
         "glue:GetTables",
         "glue:GetTableVersion",         
         "glue:GetTableVersions",
         "glue:GetPartition", 
         "glue:GetPartitions",
         "glue:BatchGetPartition",
         "glue:SearchTables"
       ],
      "Principal": {"AWS": [
        "111122223333"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:111122223333:table/db1/t"
     ]
    }
  ]
}
另請參閱: