用於註冊位置的角色需求 - AWS Lake Formation

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

用於註冊位置的角色需求

註冊 Amazon Simple Storage Service AWS Identity and Access Management (Amazon S3IAM) 位置時,您必須指定 () 角色。 會在存取該位置的資料時 AWS Lake Formation 擔任該角色。

您可以使用下列其中一個角色類型來註冊位置:

  • Lake Formation 服務連結角色。此角色會授予位置所需的許可。使用此角色是註冊位置的最簡單方法。如需詳細資訊,請參閱使用 Lake Formation 的服務連結角色

  • 使用者定義的角色。當您需要授予比服務連結角色更多的許可時,請使用使用者定義的角色。

    在下列情況下,您必須使用使用者定義的角色:

以下是使用者定義角色的要求:

  • 建立新角色時,在IAM主控台的建立角色頁面上,選擇AWS 服務 ,然後在選擇使用案例 下,選擇 Lake Formation

    如果您使用不同的路徑建立角色,請確定角色與 具有信任關係lakeformation.amazonaws.com。如需詳細資訊,請參閱修改角色信任政策 (主控台)

  • 此角色必須與下列實體具有信任關係:

    • glue.amazonaws.com

    • lakeformation.amazonaws.com

    如需詳細資訊,請參閱修改角色信任政策 (主控台)

  • 角色必須具有內嵌政策,授予 Amazon S3 對該位置的讀取/寫入許可。以下是典型的政策。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::awsexamplebucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::awsexamplebucket"
            ]
        }
    ]
}

  • 將下列信任政策新增至 IAM角色,以允許 Lake Formation 服務擔任角色,並將臨時新聞發佈內容發佈至整合的分析引擎。

    若要在 CloudTrail 日誌中包含 IAM Identity Center 使用者內容,信任政策必須具有sts:SetContext動作的許可。「sts:SetContext」 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DataCatalogViewDefinerAssumeRole1",
            "Effect": "Allow",
            "Principal": {
               "Service": [
                    "glue.amazonaws.com",
                    "lakeformation.amazonaws.com"
                 ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}

  • 註冊位置的資料湖管理員必須具有角色的iam:PassRole許可。

    以下是授予此許可的內嵌政策。Replace (取代) <account-id> 具有有效的 AWS 帳戶號碼,並取代 <role-name> 角色的名稱。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/<role-name>"
            ]
        }
    ]
}

  • 若要允許 Lake Formation 在 CloudWatch 日誌中新增日誌並發佈指標,請新增下列內嵌政策。

    注意

    寫入 CloudWatch 日誌會產生費用。

    
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Sid1",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": [
                 "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*",
                 "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*:log-stream:*"
            ]
        }
    ]
}