GetResourceShares API 操作を使用したすべてのクロスアカウント付与の表示 - AWS Lake Formation

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GetResourceShares API 操作を使用したすべてのクロスアカウント付与の表示

企業がリソース AWS Glue Data Catalog ポリシーと Lake Formation 許可の両方を使用してクロスアカウント許可を付与する場合、すべてのクロスアカウント許可を 1 か所に表示する唯一の方法は、 glue:GetResourceShares API オペレーションを使用することです。

名前付きリソースメソッドを使用してアカウント間で Lake Formation アクセス許可を付与すると、 AWS Resource Access Manager (AWS RAM) は AWS Identity and Access Management (IAM) リソースポリシーを作成し、 AWS アカウントに保存します。このポリシーは、リソースへのアクセスに必要なアクセス許可を付与します。 は、クロスアカウント付与ごとに個別のリソースポリシー AWS RAM を作成します。glue:GetResourceShares API 操作を使用することで、これらすべてのポリシーを表示することができます。

注記

この操作は、Data Catalog リソースポリシーも返します。ただし、Data Catalog 設定でメタデータ暗号化を有効にし、 AWS KMS キーに対するアクセス許可がない場合、オペレーションは Data Catalog リソースポリシーを返しません。

すべてのクロスアカウント付与を表示する

  • 次のコマンドを入力します AWS CLI 。

    aws glue get-resource-policies

データベースのテーブルに対するアクセス許可を AWS アカウント 1111-2222-3333 に付与するときに が AWS RAM 作成および保存するリソースポリシーの例tdb1を次に示します。

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "glue:GetTable",
         "glue:GetTables",
         "glue:GetTableVersion",         
         "glue:GetTableVersions",
         "glue:GetPartition", 
         "glue:GetPartitions",
         "glue:BatchGetPartition",
         "glue:SearchTables"
       ],
      "Principal": {"AWS": [
        "111122223333"
      ]},
      "Resource": [
      "arn:aws:glue:us-east-1:111122223333:table/db1/t"
     ]
    }
  ]
}
以下も参照してください。