Lake Formation 基于标签的访问控制跨账户先决条件 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Lake Formation 基于标签的访问控制跨账户先决条件

在使用 Lake Formation 基于标签的访问控制 (LF-TBAC) 方法授予对数据目录资源的跨账户访问权限之前,必须将以下 JSON 权限对象添加到Amazon Glue Data Catalog资源策略。你必须为每个Amazon您正在向其授予权限的账户。

要添加此代码,可以使用设置的 “” 页面Amazon Glue控制台,或者glue:PutResourcePolicyAPI 操作。

Replace<recipient-account-id>与Amazon收到补助金的账户,<region>数据目录的区域包含您正在授予权限的数据库和表,以及<account-id>使用您的Amazon账户 ID。

{
  "Effect": "Allow",
  "Action": [
    "glue:*"
  ],
  "Principal": {
    "AWS": [
      "<recipient-account-id>"
    ]
  },
  "Resource": [
    "arn:aws:glue:<region>:<account-id>:table/*",
    "arn:aws:glue:<region>:<account-id>:database/*",
    "arn:aws:glue:<region>:<account-id>:catalog"
  ],
  "Condition": {
    "Bool": {
      "glue:EvaluatedByLakeFormationTags": true
    }
  }
}
注意

资源策略中的所有代码必须位于Statement.

{
    "Version": "2012-10-17",
    "Statement": []
}
重要

如果您当前还通过使用 named resource 方法授予跨账户权限,则必须将EnableHybrid参数'true'当你调用glue:PutResourcePolicyAPI 操作。有关更多信息,请参阅 使用这两者来管理跨账户权限Amazon GlueLake Format

另请参阅