Requisitos de los roles utilizados para registrar ubicaciones

Debe especificar un rol AWS Identity and Access Management (IAM) cuando registre una ubicación de Amazon Simple Storage Service (Amazon S3). AWS Lake Formation asume ese rol cuando accede a los datos de esa ubicación.

Para registrar una ubicación, puede utilizar uno de los siguientes tipos de rol:

El rol vinculado al servicio de Lake Formation. Este rol concede los permisos necesarios sobre la ubicación. Utilizar este rol es la forma más sencilla de registrar la ubicación. Para obtener más información, consulte Uso de roles vinculados a servicios para Lake Formation.
Un rol definido por el usuario. Utilice un rol definido por el usuario cuando necesite conceder más permisos de los que proporciona el rol vinculado al servicio.

Debe utilizar un rol definido por el usuario en las circunstancias siguientes:
- Al registrar una ubicación en otra cuenta.
  
  Para obtener más información, consulte Registrar una ubicación de Amazon S3 en otra cuenta AWS y Registro de una ubicación cifrada de Amazon S3 entre cuentas AWS.
- Si ha utilizado una CMK administrada por AWS (aws/s3) para cifrar la ubicación de Amazon S3.
  
  Para obtener más información, consulte Registro de una ubicación cifrada de Amazon S3.
- Si tiene previsto acceder a la ubicación mediante Amazon EMR.
  
  Si ya ha registrado una ubicación con el rol vinculado al servicio y desea comenzar a acceder a la ubicación con Amazon EMR, deberá anular el registro de la ubicación y volver a registrarla con un rol definido por el usuario. Para obtener más información, consulte Dar de baja el registro de una ubicación de Amazon S3.

Los siguientes son los requisitos para un rol definido por el usuario:

Al crear el nuevo rol, en la página Crear rol de la consola de IAM, elija el Servicio de AWS y, a continuación, en Elija un caso de uso, seleccione Lake Formation.

Si crea el rol utilizando una ruta diferente, asegúrese de que el rol tenga una relación de confianza con lakeformation.amazonaws.com. Para más información, consulte Modificación de una política de confianza de rol (consola).
El rol debe tener relaciones de confianza con las siguientes entidades:
- glue.amazonaws.com
- lakeformation.amazonaws.com
Para más información, consulte Modificación de una política de confianza de rol (consola).

El rol debe tener una política en línea que conceda permisos de lectura/escritura de Amazon S3 en la ubicación. La siguiente es una política característica.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::awsexamplebucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::awsexamplebucket"
            ]
        }
    ]
}

Agregue la siguiente política de confianza al rol de IAM para permitir que el servicio de Lake Formation asuma el rol y dispense credenciales temporales a los motores de análisis integrados.

Para incluir el contexto de usuario de IAM Identity Center en los registros de CloudTrail, la política de confianza debe tener el permiso para la acción sts:SetContext: “sts:SetContext”.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DataCatalogViewDefinerAssumeRole1",
            "Effect": "Allow",
            "Principal": {
               "Service": [
                    "glue.amazonaws.com",
                    "lakeformation.amazonaws.com"
                 ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}

El administrador del lago de datos que registra la ubicación debe tener el permiso iam:PassRole para el rol.

La siguiente es una política insertada que concede este permiso. Sustituya <id-cuenta> por un número de cuenta AWS válido y <nombre-rol> por el nombre del rol.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/<role-name>"
            ]
        }
    ]
}

Para permitir que Lake Formation añada registros en CloudWatch Logs y publique métricas, añada la siguiente política en línea.

nota

Escribir en CloudWatch Logs conlleva un cargo.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Sid1",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": [
                 "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*",
                 "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*:log-stream:*"
            ]
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Añadir una ubicación de Amazon S3 a su lago de datos

Uso de roles vinculados a servicios