Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von serviceverknüpften Rollen für Lake Formation
AWS Lake Formation verwendet eine dienstverknüpfte IAM Rolle AWS Identity and Access Management (). Eine dienstbezogene Rolle ist eine einzigartige Art von IAM Rolle, die direkt mit Lake Formation verknüpft ist. Die dienstverknüpfte Rolle ist von Lake Formation vordefiniert und umfasst alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Lake Formation, da Sie keine Rolle erstellen und die erforderlichen Berechtigungen manuell hinzufügen müssen. Lake Formation definiert die Berechtigungen seiner dienstbezogenen Rolle, und sofern nicht anders definiert, kann nur Lake Formation seine Rollen übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.
Diese dienstbezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
-
lakeformation.amazonaws.com
Wenn Sie eine serviceverknüpfte Rolle in Konto A verwenden, um einen Amazon S3 S3-Standort zu registrieren, der Konto B gehört, muss die Amazon S3 S3-Bucket-Richtlinie (eine ressourcenbasierte Richtlinie) in Konto B Zugriffsberechtigungen für die serviceverknüpfte Rolle in Konto A gewähren.
Anmerkung
Die Richtlinien zur Servicesteuerung (SCPs) wirken sich nicht auf servicebezogene Rollen aus.
Weitere Informationen finden Sie im AWS Organizations Benutzerhandbuch unter Richtlinien zur Servicesteuerung (SCPs).
Dienstbezogene Rollenberechtigungen für Lake Formation
Lake Formation verwendet die angegebene dienstbezogene Rolle. AWSServiceRoleForLakeFormationDataAccess
Diese Rolle bietet eine Reihe von Amazon Simple Storage Service (Amazon S3) -Berechtigungen, die es dem integrierten Service von Lake Formation (z. B. Amazon Athena) ermöglichen, auf registrierte Standorte zuzugreifen. Wenn Sie einen Data Lake-Standort registrieren, müssen Sie eine Rolle angeben, die über die erforderlichen Amazon S3 S3-Lese-/Schreibberechtigungen für diesen Standort verfügt. Anstatt eine Rolle mit den erforderlichen Amazon S3 S3-Berechtigungen zu erstellen, können Sie diese serviceverknüpfte Rolle verwenden.
Wenn Sie die serviceverknüpfte Rolle zum ersten Mal als die Rolle angeben, mit der ein Pfad registriert werden soll, werden die dienstbezogene Rolle und eine neue IAM Richtlinie in Ihrem Namen erstellt. Lake Formation fügt den Pfad zur Inline-Richtlinie hinzu und fügt ihn der serviceverknüpften Rolle hinzu. Wenn Sie nachfolgende Pfade mit der serviceverknüpften Rolle registrieren, fügt Lake Formation den Pfad der vorhandenen Richtlinie hinzu.
Registrieren Sie einen Data Lake-Standort, während Sie als Data Lake-Administrator angemeldet sind. Suchen Sie dann in der IAM Konsole nach der Rolle AWSServiceRoleForLakeFormationDataAccess
und sehen Sie sich die zugehörigen Richtlinien an.
Nachdem Sie den Standort registriert habens3://my-kinesis-test/logs
, erstellt Lake Formation beispielsweise die folgende Inline-Richtlinie und hängt sie an an. AWSServiceRoleForLakeFormationDataAccess
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LakeFormationDataAccessPermissionsForS3", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::
my-kinesis-test/logs/*
" ] }, { "Sid": "LakeFormationDataAccessPermissionsForS3ListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::my-kinesis-test
" ] } ] }
Erstellung einer dienstbezogenen Rolle für Lake Formation
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie einen Amazon S3 S3-Standort bei Lake Formation in der AWS Management Console, der oder der AWS API registrieren AWS CLI, erstellt Lake Formation die serviceverknüpfte Rolle für Sie.
Wichtig
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Weitere Informationen finden Sie unter Eine neue Rolle wurde in „Mein IAM Konto“ angezeigt.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie einen Amazon S3 S3-Standort bei Lake Formation registrieren, erstellt Lake Formation die serviceverknüpfte Rolle erneut für Sie.
Sie können die IAM Konsole auch verwenden, um eine serviceverknüpfte Rolle mit dem Lake Formation Formation-Anwendungsfall zu erstellen. Erstellen Sie im AWS CLI oder im AWS API eine dienstverknüpfte Rolle mit dem lakeformation.amazonaws.com
Dienstnamen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Erstellen einer dienstbezogenen Rolle. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
Bearbeiten einer serviceverknüpften Rolle für Lake Formation
In Lake Formation können Sie die AWSServiceRoleForLakeFormationDataAccess
serviceverknüpfte Rolle nicht bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können die Beschreibung der Rolle jedoch mithilfe IAM von bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer dienstbezogenen Rolle im IAMBenutzerhandbuch.
Löschen einer serviceverknüpften Rolle für Lake Formation
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
Anmerkung
Wenn der Lake Formation Formation-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
Um Lake Formation-Ressourcen zu löschen, die von der Lake Formation verwendet werden
-
Wenn Sie die serviceverknüpfte Rolle verwendet haben, um Amazon S3 S3-Standorte bei Lake Formation zu registrieren, müssen Sie vor dem Löschen der serviceverknüpften Rolle den Standort abmelden und ihn mit einer benutzerdefinierten Rolle erneut registrieren.
Um die serviceverknüpfte Rolle manuell zu löschen, verwenden Sie IAM
Verwenden Sie die IAM Konsole, den oder AWS CLI, AWS API um die AWSServiceRoleForLakeFormationDataAccess
dienstverknüpfte Rolle zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.