Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden

Sie müssen eine Rolle AWS Identity and Access Management (IAM) angeben, wenn Sie einen Amazon Simple Storage Service (Amazon S3) -Standort registrieren. AWS Lake Formation nimmt diese Rolle beim Zugriff auf die Daten an diesem Standort an.

Sie können einen der folgenden Rollentypen verwenden, um einen Standort zu registrieren:

Die dienstleistungsbezogene Rolle von Lake Formation. Diese Rolle gewährt die erforderlichen Berechtigungen für den Standort. Die Verwendung dieser Rolle ist die einfachste Methode, den Standort zu registrieren. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für Lake Formation.
Eine benutzerdefinierte Rolle. Verwenden Sie eine benutzerdefinierte Rolle, wenn Sie mehr Berechtigungen gewähren müssen, als die mit dem Dienst verknüpfte Rolle bietet.

In den folgenden Fällen müssen Sie eine benutzerdefinierte Rolle verwenden:
- Bei der Registrierung eines Standorts in einem anderen Konto.
  
  Weitere Informationen erhalten Sie unter Registrierung eines Amazon S3 S3-Standorts in einem anderen AWS Konto und AWS Kontoübergreifende Registrierung eines verschlüsselten Amazon S3 S3-Standorts.
- Wenn Sie AWS managed CMK (aws/s3) verwendet haben, um den Amazon S3 S3-Standort zu verschlüsseln.
  
  Weitere Informationen finden Sie unter Registrierung eines verschlüsselten Amazon S3 S3-Standorts.
- Wenn Sie über Amazon auf den Standort zugreifen möchtenEMR.
  
  Wenn Sie bereits einen Standort mit der serviceverknüpften Rolle registriert haben und mit dem Zugriff auf den Standort bei Amazon beginnen möchtenEMR, müssen Sie den Standort abmelden und ihn mit einer benutzerdefinierten Rolle erneut registrieren. Weitere Informationen finden Sie unter Abmeldung eines Amazon S3 S3-Standorts.

Im Folgenden sind die Anforderungen für eine benutzerdefinierte Rolle aufgeführt:

Wählen Sie beim Erstellen der neuen Rolle auf der Seite Rolle erstellen der IAM Konsole AWS Service und dann unter Anwendungsfall auswählen die Option Lake Formation aus.

Wenn Sie die Rolle unter Verwendung eines anderen Pfads erstellen, stellen Sie sicher, dass für die Rolle eine Vertrauensstellung bestehtlakeformation.amazonaws.com. Weitere Informationen finden Sie unter Ändern einer Vertrauensrichtlinie für Rollen (Konsole).
Die Rolle muss Vertrauensbeziehungen zu den folgenden Entitäten haben:
- glue.amazonaws.com
- lakeformation.amazonaws.com
Weitere Informationen finden Sie unter Ändern einer Rollenvertrauensrichtlinie (Konsole).

Die Rolle muss über eine Inline-Richtlinie verfügen, die Amazon S3 Lese-/Schreibberechtigungen für den Standort gewährt. Im Folgenden finden Sie eine typische Richtlinie.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::awsexamplebucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::awsexamplebucket"
            ]
        }
    ]
}

Fügen Sie der IAM Rolle die folgende Vertrauensrichtlinie hinzu, damit der Lake Formation Formation-Dienst die Rolle übernehmen und temporäre Anmeldeinformationen an die integrierten Analyse-Engines weitergeben kann.

Um den IAM Identity Center-Benutzerkontext in die CloudTrail Protokolle aufzunehmen, muss die Vertrauensrichtlinie über die entsprechende Genehmigung für die Aktion verfügen. sts:SetContext „sts:SetContext“


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DataCatalogViewDefinerAssumeRole1",
            "Effect": "Allow",
            "Principal": {
               "Service": [
                    "glue.amazonaws.com",
                    "lakeformation.amazonaws.com"
                 ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}

Der Data Lake-Administrator, der den Standort registriert, muss über die entsprechenden iam:PassRole Berechtigungen für die Rolle verfügen.

Im Folgenden finden Sie eine Inline-Richtlinie, die diese Berechtigung gewährt. Ersetzen <account-id> mit einer gültigen AWS Kontonummer und ersetzen <role-name> mit dem Namen der Rolle.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/<role-name>"
            ]
        }
    ]
}

Damit Lake Formation Logs zu Logs hinzufügen und Metriken veröffentlichen kann, fügen Sie die folgende Inline-Richtlinie hinzu. CloudWatch

Anmerkung

Das Schreiben in CloudWatch Logs ist kostenpflichtig.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Sid1",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": [
                 "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*",
                 "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*:log-stream:*"
            ]
        }
    ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Hinzufügen eines Amazon S3 S3-Standorts zu Ihrem Data Lake

Verwenden von serviceverknüpften Rollen