API 작업을 사용한 모든 교차 계정 보조금 보기 GetResourceShares - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

API 작업을 사용한 모든 교차 계정 보조금 보기 GetResourceShares

기업에서 AWS Glue Data Catalog 리소스 정책과 Lake Formation 부여를 모두 사용하여 계정 간 권한을 부여하는 경우 모든 교차 계정 부여를 한 곳에서 볼 수 있는 유일한 방법은 glue:GetResourceShares API 작업을 사용하는 것입니다.

지정된 리소스 메서드를 사용하여 계정 전체에 Lake Formation 권한을 부여하면 AWS Resource Access Manager (AWS RAM) 가 AWS Identity and Access Management (IAM) 리소스 정책을 생성하여 AWS 계정에 저장합니다. 정책은 리소스에 액세스하는 데 필요한 권한을 부여합니다. AWS RAM 각 교차 계정 부여에 대해 별도의 리소스 정책을 생성합니다. glue:GetResourceShares API 작업을 사용하여 이러한 모든 정책을 볼 수 있습니다.

참고

이 작업은 데이터 카탈로그 리소스 정책도 반환합니다. 하지만 Data Catalog 설정에서 메타데이터 암호화를 사용하도록 설정하고 AWS KMS 키에 대한 권한이 없는 경우 작업 시 Data Catalog 리소스 정책이 반환되지 않습니다.

모든 교차 계정 권한 부여를 보려면
  • 다음 AWS CLI 명령을 입력합니다.

    aws glue get-resource-policies

다음은 데이터베이스의 테이블에 대한 권한을 AWS 계정 t 1111-2222-3333에 부여할 때 AWS RAM 생성되고 db1 저장되는 예제 리소스 정책입니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetTable", "glue:GetTables", "glue:GetTableVersion", "glue:GetTableVersions", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition", "glue:SearchTables" ], "Principal": {"AWS": [ "111122223333" ]}, "Resource": [ "arn:aws:glue:<region>:111122223333:table/db1/t" ] } ] }