Passaggio 1: Elenca le autorizzazioni esistenti di utenti e ruoli - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Passaggio 1: Elenca le autorizzazioni esistenti di utenti e ruoli

Per iniziare a utilizzare AWS Lake Formation le autorizzazioni con i AWS Glue database e le tabelle esistenti, devi prima determinare le autorizzazioni esistenti degli utenti.

Importante

Prima di iniziare, assicurati di aver completato le attività in. Guida introduttiva a Lake Formation

Utilizzo dell'operazione API

Utilizza l'operazione ListPoliciesGrantingServiceAccessAPI AWS Identity and Access Management (IAM) per determinare le policy IAM associate a ciascun principale (utente o ruolo). In base alle policy restituite nei risultati, puoi determinare le autorizzazioni IAM concesse al principale. È necessario richiamare l'API per ogni principale separatamente.

L' AWS CLI esempio seguente restituisce le politiche allegate all'utenteglue_user1.

aws iam list-policies-granting-service-access --arn arn:aws:iam::111122223333:user/glue_user1 --service-namespaces glue

Il comando restituisce risultati simili ai seguenti.

{ "PoliciesGrantingServiceAccess": [ { "ServiceNamespace": "glue", "Policies": [ { "PolicyType": "INLINE", "PolicyName": "GlueUserBasic", "EntityName": "glue_user1", "EntityType": "USER" }, { "PolicyType": "MANAGED", "PolicyArn": "arn:aws:iam::aws:policy/AmazonAthenaFullAccess", "PolicyName": "AmazonAthenaFullAccess" } ] } ], "IsTruncated": false }

Utilizzando il AWS Management Console

Puoi anche visualizzare queste informazioni sulla console AWS Identity and Access Management (IAM), nella scheda Access Advisor nella pagina di riepilogo dell'utente o del ruolo:

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, selezionare Users (Utenti) o Roles (Ruoli).

  3. Scegli un nome nell'elenco per aprire la relativa pagina di riepilogo e scegli la scheda Access Advisor.

  4. Ispeziona ciascuna politica per determinare la combinazione di database, tabelle e azioni per cui ogni utente dispone delle autorizzazioni.

    Ricorda di controllare i ruoli oltre agli utenti durante questo processo, perché i tuoi processi di elaborazione dei dati potrebbero assumere ruoli per accedere ai dati.

Usando AWS CloudTrail

Un altro modo per determinare le autorizzazioni esistenti consiste nel AWS CloudTrail cercare le chiamate AWS Glue API in cui il additionaleventdata campo dei log contiene una insufficientLakeFormationPermissions voce. Questa voce elenca il database e la tabella su cui l'utente necessita delle autorizzazioni di Lake Formation per eseguire la stessa azione.

Si tratta di registri di accesso ai dati, quindi non è garantito che producano un elenco completo degli utenti e delle relative autorizzazioni. Ti consigliamo di scegliere un ampio intervallo di tempo per registrare la maggior parte dei modelli di accesso ai dati degli utenti, ad esempio diverse settimane o mesi.

Per ulteriori informazioni, consulta Visualizzazione degli eventi con cronologia degli CloudTrail eventi nella Guida per l'AWS CloudTrail utente.

Successivamente, puoi impostare le autorizzazioni di Lake Formation in modo che corrispondano alle AWS Glue autorizzazioni. Per informazioni, consulta Passaggio 2: Imposta le autorizzazioni equivalenti di Lake Formation.