Requisiti per i ruoli utilizzati per registrare le sedi

Devi specificare un ruolo AWS Identity and Access Management (IAM) quando registri una sede Amazon Simple Storage Service (Amazon S3). AWS Lake Formation assume quel ruolo quando accede ai dati in quella posizione.

È possibile utilizzare uno dei seguenti tipi di ruolo per registrare una posizione:

Il ruolo legato ai servizi di Lake Formation. Questo ruolo concede le autorizzazioni necessarie sulla sede. L'utilizzo di questo ruolo è il modo più semplice per registrare la posizione. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per Lake Formation.
Un ruolo definito dall'utente. Utilizza un ruolo definito dall'utente quando devi concedere più autorizzazioni rispetto a quelle fornite dal ruolo collegato al servizio.

È necessario utilizzare un ruolo definito dall'utente nelle seguenti circostanze:
- Quando si registra una sede in un altro account.
  
  Per ulteriori informazioni, consulta Registrazione di una sede Amazon S3 in un altro account AWS e Registrazione di una posizione Amazon S3 crittografata tra più account AWS.
- Se hai utilizzato un AWS managed CMK (aws/s3) per crittografare la posizione Amazon S3.
  
  Per ulteriori informazioni, consulta Registrazione di una posizione Amazon S3 crittografata.
- Se prevedi di accedere alla posizione utilizzando AmazonEMR.
  
  Se hai già registrato una sede con il ruolo collegato al servizio e desideri iniziare ad accedervi con AmazonEMR, devi annullare la registrazione della sede e registrarla nuovamente con un ruolo definito dall'utente. Per ulteriori informazioni, consulta Annullamento della registrazione di una sede Amazon S3.

Di seguito sono riportati i requisiti per un ruolo definito dall'utente:

Quando crei il nuovo ruolo, nella pagina Crea ruolo della IAM console, scegli AWS servizio, quindi in Scegli un caso d'uso, scegli Lake Formation.

Se crei il ruolo utilizzando un percorso diverso, assicurati che il ruolo abbia una relazione di fiducia conlakeformation.amazonaws.com. Per ulteriori informazioni, vedere Modifica di una politica di attendibilità dei ruoli (console).
Il ruolo deve avere relazioni di fiducia con le seguenti entità:
- glue.amazonaws.com
- lakeformation.amazonaws.com
Per ulteriori informazioni, vedere Modifica di una politica di attendibilità dei ruoli (console).

Il ruolo deve avere una politica in linea che conceda le autorizzazioni di lettura/scrittura di Amazon S3 sulla posizione. Di seguito è riportata una politica tipica.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::awsexamplebucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::awsexamplebucket"
            ]
        }
    ]
}

Aggiungi la seguente politica di fiducia al IAM ruolo per consentire al servizio Lake Formation di assumere il ruolo e fornire credenziali temporanee ai motori analitici integrati.

Per includere il contesto utente di IAM Identity Center nei CloudTrail log, la policy di fiducia deve disporre dell'autorizzazione per l'azione. sts:SetContext «sts:SetContext»


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DataCatalogViewDefinerAssumeRole1",
            "Effect": "Allow",
            "Principal": {
               "Service": [
                    "glue.amazonaws.com",
                    "lakeformation.amazonaws.com"
                 ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}

L'amministratore del data lake che registra la posizione deve disporre dell'iam:PassRoleautorizzazione per il ruolo.

Di seguito è riportata una politica in linea che concede questa autorizzazione. Replace (Sostituisci) <account-id> con un numero di AWS conto valido e sostituisci <role-name> con il nome del ruolo.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/<role-name>"
            ]
        }
    ]
}

Per consentire a Lake Formation di aggiungere log in CloudWatch Logs e pubblicare metriche, aggiungi la seguente politica in linea.

Nota

La scrittura su CloudWatch Logs comporta un costo.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Sid1",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": [
                 "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*",
                 "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*:log-stream:*"
            ]
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Aggiungere una posizione Amazon S3 al tuo data lake

Uso di ruoli collegati ai servizi