Requisitos de los roles utilizados para registrar ubicaciones - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos de los roles utilizados para registrar ubicaciones

Debe especificar un rol AWS Identity and Access Management (IAM) cuando registre una ubicación de Amazon Simple Storage Service (Amazon S3). AWS Lake Formation asume ese rol cuando accede a los datos de esa ubicación.

Para registrar una ubicación, puede utilizar uno de los siguientes tipos de rol:

Los siguientes son los requisitos para un rol definido por el usuario:

  • Al crear el nuevo rol, en la página Crear rol de la consola de IAM, elija el Servicio de AWS y, a continuación, en Elija un caso de uso, seleccione Lake Formation.

    Si crea el rol utilizando una ruta diferente, asegúrese de que el rol tenga una relación de confianza con lakeformation.amazonaws.com. Para más información, consulte Modificación de una política de confianza de rol (consola).

  • El rol debe tener relaciones de confianza con las siguientes entidades:

    • glue.amazonaws.com

    • lakeformation.amazonaws.com

    Para más información, consulte Modificación de una política de confianza de rol (consola).

  • El rol debe tener una política en línea que conceda permisos de lectura/escritura de Amazon S3 en la ubicación. La siguiente es una política característica.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::awsexamplebucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::awsexamplebucket" ] } ] }
  • Agregue la siguiente política de confianza al rol de IAM para permitir que el servicio de Lake Formation asuma el rol y dispense credenciales temporales a los motores de análisis integrados.

    Para incluir el contexto de usuario de IAM Identity Center en los registros de CloudTrail, la política de confianza debe tener el permiso para la acción sts:SetContext: “sts:SetContext”.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "DataCatalogViewDefinerAssumeRole1", "Effect": "Allow", "Principal": { "Service": [ "glue.amazonaws.com", "lakeformation.amazonaws.com" ] }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] }
  • El administrador del lago de datos que registra la ubicación debe tener el permiso iam:PassRole para el rol.

    La siguiente es una política insertada que concede este permiso. Sustituya <id-cuenta> por un número de cuenta AWS válido y <nombre-rol> por el nombre del rol.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "PassRolePermissions", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<account-id>:role/<role-name>" ] } ] }
  • Para permitir que Lake Formation añada registros en CloudWatch Logs y publique métricas, añada la siguiente política en línea.

    nota

    Escribir en CloudWatch Logs conlleva un cargo.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Sid1", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*", "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*:log-stream:*" ] } ] }