Persyaratan untuk peran yang digunakan untuk mendaftarkan lokasi

Anda harus menentukan peran AWS Identity and Access Management (IAM) saat mendaftarkan lokasi Amazon Simple Storage Service (Amazon S3). AWS Lake Formation mengasumsikan peran itu saat mengakses data di lokasi itu.

Anda dapat menggunakan salah satu jenis peran berikut untuk mendaftarkan lokasi:

Peran terkait layanan Lake Formation. Peran ini memberikan izin yang diperlukan di lokasi. Menggunakan peran ini adalah cara paling sederhana untuk mendaftarkan lokasi. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk Lake Formation.
Peran yang ditentukan pengguna. Gunakan peran yang ditentukan pengguna saat Anda perlu memberikan lebih banyak izin daripada yang diberikan peran terkait layanan.

Anda harus menggunakan peran yang ditentukan pengguna dalam keadaan berikut:
- Saat mendaftarkan lokasi di akun lain.
  
  Untuk informasi selengkapnya, silakan lihat Mendaftarkan lokasi Amazon S3 di akun lain AWS dan Mendaftarkan lokasi Amazon S3 terenkripsi di seluruh akun AWS.
- Jika Anda menggunakan AWS managed CMK (aws/s3) untuk mengenkripsi lokasi Amazon S3.
  
  Untuk informasi selengkapnya, lihat Mendaftarkan lokasi Amazon S3 terenkripsi.
- Jika Anda berencana untuk mengakses lokasi menggunakan AmazonEMR.
  
  Jika Anda sudah mendaftarkan lokasi dengan peran terkait layanan dan ingin mulai mengakses lokasi dengan AmazonEMR, Anda harus membatalkan pendaftaran lokasi dan mendaftarkannya kembali dengan peran yang ditentukan pengguna. Untuk informasi selengkapnya, lihat Membatalkan pendaftaran lokasi Amazon S3.

Berikut ini adalah persyaratan untuk peran yang ditentukan pengguna:

Saat membuat peran baru, pada halaman Buat peran IAM konsol, pilih AWS layanan, lalu di bawah Pilih kasus penggunaan, pilih Lake Formation.

Jika Anda membuat peran menggunakan jalur yang berbeda, pastikan bahwa peran tersebut memiliki hubungan kepercayaan denganlakeformation.amazonaws.com. Untuk informasi selengkapnya, lihat Memodifikasi Kebijakan Kepercayaan Peran (Konsol).
Peran harus memiliki hubungan kepercayaan dengan entitas berikut:
- glue.amazonaws.com
- lakeformation.amazonaws.com
Untuk informasi selengkapnya, lihat Memodifikasi Kebijakan Kepercayaan Peran (Konsol).

Peran harus memiliki kebijakan sebaris yang memberikan izin baca/tulis Amazon S3 di lokasi. Berikut ini adalah kebijakan yang khas.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::awsexamplebucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::awsexamplebucket"
            ]
        }
    ]
}

Tambahkan kebijakan kepercayaan berikut ke IAM peran untuk memungkinkan layanan Lake Formation mengambil peran dan menjual kredentil sementara ke mesin analitik terintegrasi.

Untuk menyertakan konteks pengguna Pusat IAM Identitas dalam CloudTrail log, kebijakan kepercayaan harus memiliki izin untuk sts:SetContext tindakan tersebut. “sts:SetContext”


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DataCatalogViewDefinerAssumeRole1",
            "Effect": "Allow",
            "Principal": {
               "Service": [
                    "glue.amazonaws.com",
                    "lakeformation.amazonaws.com"
                 ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}

Administrator data lake yang mendaftarkan lokasi harus memiliki iam:PassRole izin pada peran tersebut.

Berikut ini adalah kebijakan inline yang memberikan izin ini. Ganti <account-id> dengan nomor AWS rekening yang valid, dan ganti <role-name> dengan nama peran.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/<role-name>"
            ]
        }
    ]
}

Untuk mengizinkan Lake Formation menambahkan CloudWatch log di Log dan menerbitkan metrik, tambahkan kebijakan sebaris berikut.

catatan

Menulis ke CloudWatch Log menimbulkan biaya.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Sid1",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": [
                 "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*",
                 "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*:log-stream:*"
            ]
        }
    ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menambahkan lokasi Amazon S3 ke danau data Anda

Menggunakan peran terkait layanan