Permisos de rol vinculados al servicio para Lake Formation Creación de un rol vinculado a servicio para Lake Formation Edición de un rol vinculado a servicio para Lake Formation Eliminación de un rol vinculado a servicio de Lake Formation

Uso de roles vinculados a servicios para Lake Formation

AWS Lake Formation utiliza un rol vinculado al servicio de AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Lake Formation. El rol vinculado al servicio está predefinido por Lake Formation e incluye todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado a un servicio simplifica la configuración de Lake Formation porque ya no tendrá que agregar manualmente los permisos necesarios. Lake Formation define los permisos de su rol vinculado al servicio y, a menos que se defina lo contrario, solo Lake Formation puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede adjuntar a ninguna otra entidad de IAM.

Este rol vinculado a servicios confía en los siguientes servicios para asumir el rol:

lakeformation.amazonaws.com

Cuando se utiliza un rol vinculado a un servicio en la cuenta A para registrar una ubicación de Amazon S3 propiedad de la cuenta B, la política de bucket de Amazon S3 (una política basada en recursos) de la cuenta B debe conceder permisos de acceso al rol vinculado al servicio de la cuenta A.

nota

Las políticas de control del servicio (SCP) no afectan a los roles vinculados al servicio.

Para obtener más información, consulte Políticas de control de servicios (SCP) en la Guía del usuario de AWS Organizations.

Permisos de rol vinculados al servicio para Lake Formation

Lake Formation utiliza el rol vinculado al servicio denominado AWSServiceRoleForLakeFormationDataAccess. Este rol proporciona un conjunto de permisos de Amazon Simple Storage Service (Amazon S3) que permiten al servicio integrado de Lake Formation (como Amazon Athena) acceder a las ubicaciones registradas. Al registrar una ubicación de lago de datos, debe proporcionar un rol que tenga los permisos de lectura/escritura de Amazon S3 necesarios en esa ubicación. En lugar de crear un rol con los permisos de Amazon S3 que se requieren, puede utilizar este rol vinculado con un servicio.

La primera vez que nombre el rol vinculado al servicio como rol con el que registrar una ruta, el rol vinculado al servicio y una nueva política de IAM se crearán en su nombre. Lake Formation añade la ruta a la política insertada y la adjunta al rol vinculado al servicio. Cuando registre rutas posteriores con el rol vinculado al servicio, Lake Formation añade la ruta a la política existente.

Inicie sesión como administrador del lago de datos y registre una ubicación del lago de datos. A continuación, en la consola de IAM, busque el rol AWSServiceRoleForLakeFormationDataAccess y vea sus políticas adjuntas.

Por ejemplo, después de registrar la ubicación s3://my-kinesis-test/logs, Lake Formation crea la siguiente política en línea y la adjunta a AWSServiceRoleForLakeFormationDataAccess.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::my-kinesis-test/logs/*"
            ]
        },
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": [
                "arn:aws:s3:::my-kinesis-test"
            ]
        }
    ]
}

Creación de un rol vinculado a servicio para Lake Formation

No necesita crear manualmente un rol vinculado a servicios. Cuando registra una ubicación de Amazon S3 con Lake Formation en la AWS Management Console, la AWS CLI o la API de AWS, Lake Formation crea automáticamente el rol vinculado al servicio.

importante

Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte Un nuevo rol ha aparecido en mi cuenta de IAM.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al registrar una ubicación de Amazon S3 en Lake Formation, Lake Formation crea automáticamente el rol vinculado al servicio.

También puede utilizar la consola de IAM para crear un rol vinculado a servicio con el caso de uso de Lake Formation. En la AWS CLI o la API de AWS, cree un rol vinculado al servicio con el nombre de servicio lakeformation.amazonaws.com. Para obtener más información, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.

Edición de un rol vinculado a servicio para Lake Formation

Lake Formation no le permite editar el rol vinculado a servicio AWSServiceRoleForLakeFormationDataAccess. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a servicio de Lake Formation

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se monitorice ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el servicio de Lake Formation está utilizando el rol cuando intente eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar los recursos de Lake Formation utilizados por Lake Formation

Si ha utilizado el rol vinculado al servicio para registrar las ubicaciones de Amazon S3 en Lake Formation, antes de eliminar el rol vinculado al servicio, debe anular el registro de la ubicación y volver a registrarla con un rol personalizado.

Eliminación manual del rol vinculado a servicios mediante IAM

Puede usar la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a un servicio de AWSServiceRoleForLakeFormationDataAccess. Para más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Requisitos de los roles utilizados para registrar ubicaciones

Registro de una ubicación de Amazon S3