Utilisation de rôles liés à un service pour Lake Formation - AWS Lake Formation
Autorisations de rôle liées à un service pour Lake FormationCréation d'un rôle lié à un service pour Lake FormationModification d'un rôle lié à un service pour Lake FormationSuppression d'un rôle lié à un service pour Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de rôles liés à un service pour Lake Formation

AWS Lake Formation utilise un rôle lié à un service AWS Identity and Access Management (IAM). Un rôle lié à un service est un type unique de IAM rôle directement lié à Lake Formation. Le rôle lié au service est prédéfini par Lake Formation et inclut toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.

Un rôle lié à un service facilite la configuration de Lake Formation, car il n'est pas nécessaire de créer un rôle et d'ajouter manuellement les autorisations nécessaires. Lake Formation définit les autorisations associées à son rôle lié aux services et, sauf indication contraire, seule Lake Formation peut assumer ses rôles. Les autorisations définies incluent la politique de confiance et la politique d'autorisations, et cette politique d'autorisations ne peut être attachée à aucune autre IAM entité.

Ce rôle lié à un service fait confiance aux services suivants pour assumer le rôle :

  • lakeformation.amazonaws.com

Lorsque vous utilisez un rôle lié à un service dans le compte A pour enregistrer un emplacement Amazon S3 appartenant au compte B, la politique de compartiment Amazon S3 (une politique basée sur les ressources) du compte B doit accorder des autorisations d'accès au rôle lié au service dans le compte A.

Note

Les politiques de contrôle des services (SCPs) n'affectent pas les rôles liés aux services.

Pour plus d'informations, voir Politiques de contrôle des services (SCPs) dans le guide de AWS Organizations l'utilisateur.

Autorisations de rôle liées à un service pour Lake Formation

Lake Formation utilise le rôle lié au service nommé. AWSServiceRoleForLakeFormationDataAccess Ce rôle fournit un ensemble d'autorisations Amazon Simple Storage Service (Amazon S3) qui permettent au service intégré Lake Formation ( Amazon Athena tel que) d'accéder aux emplacements enregistrés. Lorsque vous enregistrez l'emplacement d'un lac de données, vous devez fournir un rôle disposant des autorisations de lecture/écriture Amazon S3 requises pour cet emplacement. Au lieu de créer un rôle avec les autorisations Amazon S3 requises, vous pouvez utiliser ce rôle lié à un service.

La première fois que vous nommez le rôle lié au service comme le rôle avec lequel enregistrer un chemin, le rôle lié au service et une nouvelle IAM politique sont créés en votre nom. Lake Formation ajoute le chemin à la politique en ligne et l'associe au rôle lié au service. Lorsque vous enregistrez les chemins suivants avec le rôle lié au service, Lake Formation ajoute le chemin à la politique existante.

Lorsque vous êtes connecté en tant qu'administrateur du lac de données, enregistrez l'emplacement d'un lac de données. Ensuite, dans la IAM console, recherchez le rôle AWSServiceRoleForLakeFormationDataAccess et consultez les politiques qui lui sont associées.

Par exemple, une fois que vous avez enregistré l'emplacements3://my-kinesis-test/logs, Lake Formation crée la politique en ligne suivante et l'attache àAWSServiceRoleForLakeFormationDataAccess.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::my-kinesis-test/logs/*"
            ]
        },
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": [
                "arn:aws:s3:::my-kinesis-test"
            ]
        }
    ]
}

Création d'un rôle lié à un service pour Lake Formation

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous enregistrez un site Amazon S3 avec Lake Formation in the AWS Management Console, the AWS CLI, ou the Lake Formation AWS API, le rôle lié au service est créé pour vous.

Important

Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. Pour en savoir plus, consultez l'article Un nouveau rôle est apparu dans Mon IAM compte.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous enregistrez un site Amazon S3 auprès de Lake Formation, Lake Formation crée à nouveau le rôle lié au service pour vous.

Vous pouvez également utiliser la IAM console pour créer un rôle lié à un service avec le cas d'utilisation de Lake Formation. Dans le AWS CLI ou le AWS API, créez un rôle lié au service avec le nom du lakeformation.amazonaws.com service. Pour plus d'informations, consultez la section Création d'un rôle lié à un service dans le guide de l'IAMutilisateur. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.

Modification d'un rôle lié à un service pour Lake Formation

Lake Formation ne vous permet pas de modifier le rôle AWSServiceRoleForLakeFormationDataAccess lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Vous pouvez toutefois modifier la description du rôle à l'aide deIAM. Pour plus d'informations, consultez la section Modification d'un rôle lié à un service dans le guide de l'IAMutilisateur.

Suppression d'un rôle lié à un service pour Lake Formation

Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.

Note

Si le service Lake Formation utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.

Pour supprimer les ressources de la Formation du Lac utilisées par la Formation du Lac

  • Si vous avez utilisé le rôle lié à un service pour enregistrer des sites Amazon S3 auprès de Lake Formation, avant de supprimer le rôle lié au service, vous devez désenregistrer l'emplacement et le réenregistrer à l'aide d'un rôle personnalisé.

Pour supprimer manuellement le rôle lié à un service à l'aide de IAM

Utilisez la IAM console AWS CLI, le ou le AWS API pour supprimer le rôle AWSServiceRoleForLakeFormationDataAccess lié au service. Pour plus d'informations, consultez la section Suppression d'un rôle lié à un service dans le guide de l'IAMutilisateur.