Richten Sie ein AWS Lake Formation

In den folgenden Abschnitten finden Sie Informationen zur erstmaligen Einrichtung von Lake Formation. Nicht alle Themen in diesem Abschnitt sind erforderlich, um Lake Formation nutzen zu können. Sie können die Anweisungen verwenden, um das Lake Formation Formation-Berechtigungsmodell einzurichten, um Ihre vorhandenen AWS Glue Data Catalog Objekte und Datenspeicherorte in Amazon Simple Storage Service (Amazon S3) zu verwalten.

1. Erstellen Sie einen Data Lake-Administrator

2. Ändern Sie das Standardberechtigungsmodell oder verwenden Sie den hybriden Zugriffsmodus

3. Konfigurieren Sie einen Amazon S3 S3-Standort für Ihren Data Lake

4. Benutzern von Lake Formation Berechtigungen zuweisen

5. Integration von IAM Identity Center

6. (Optional) Einstellungen für die externe Datenfilterung

7. (Optional) Gewähren Sie Zugriff auf den Datenkatalog-Verschlüsselungsschlüssel

8. (Optional) Erstellen Sie eine IAM-Rolle für Workflows

In diesem Abschnitt erfahren Sie, wie Sie Lake Formation Formation-Ressourcen auf zwei verschiedene Arten einrichten:

• Verwenden einer AWS CloudFormation Vorlage

• Verwenden der Lake Formation Formation-Konsole

Um Lake Formation mit der AWS Konsole einzurichten, gehen Sie zuErstellen Sie einen Data Lake-Administrator.

Lake Formation Formation-Ressourcen mithilfe einer AWS CloudFormation Vorlage einrichten

Anmerkung

Der AWS CloudFormation Stack führt die Schritte 1 bis 6 der oben genannten Schritte aus, mit Ausnahme der Schritte 2 und 5. Führen Sie Ändern Sie das Standardberechtigungsmodell oder verwenden Sie den hybriden Zugriffsmodus die Ausführung Integration von IAM Identity Center manuell von der Lake Formation Formation-Konsole aus.

1. Melden Sie sich bei der AWS CloudFormation Konsole unter https://console.aws.amazon.com/cloudformation als IAM-Administrator in der Region USA Ost (Nord-Virginia) an.

2. Wählen Sie Launch Stack.

3. Wählen Sie auf dem Bildschirm „Stack erstellen“ die Option „Weiter“.

4. Geben Sie einen Stack-Namen ein.

5. Geben Sie für DatalakeAdminNameund DatalakeAdminPasswordIhren Benutzernamen und Ihr Passwort für den Data Lake-Admin-Benutzer ein.

6. Geben Sie für DatalakeUser1Name und DatalakeUser1Password Ihren Benutzernamen und Ihr Passwort für den Data Lake Analyst-Benutzer ein.

7. Geben Sie für DataLakeBucketNameIhren neuen Bucket-Namen ein, der erstellt werden soll.

8. Wählen Sie Weiter aus.

9. Wählen Sie auf der nächsten Seite Weiter aus.

10. Überprüfen Sie die Details auf der letzten Seite und wählen Sie Ich bestätige, dass AWS CloudFormation möglicherweise IAM-Ressourcen erstellt werden.

11. Wählen Sie Erstellen.

    Die Erstellung des Stacks kann bis zu zwei Minuten dauern.

Bereinigen von -Ressourcen

Wenn Sie die AWS CloudFormation Stack-Ressourcen bereinigen möchten:

1. Deregistrieren Sie den Amazon S3 S3-Bucket, den Ihr Stack erstellt und als Data Lake-Standort registriert hat.

2. Löschen Sie den AWS CloudFormation Stack. Dadurch werden alle vom Stack erstellten Ressourcen gelöscht.

Erstellen Sie einen Data Lake-Administrator

Data Lake-Administratoren sind zunächst die einzigen AWS Identity and Access Management (IAM-) Benutzer oder Rollen, die Lake Formation Formation-Berechtigungen für Datenspeicherorte und Datenkatalogressourcen jedem Prinzipal (einschließlich sich selbst) gewähren können. Weitere Informationen zu den Funktionen von Data Lake-Administratoren finden Sie unterImplizite Lake Formation Formation-Berechtigungen. Standardmäßig können Sie mit Lake Formation bis zu 30 Data Lake-Administratoren einrichten.

Sie können einen Data Lake-Administrator mithilfe der Lake Formation Formation-Konsole oder mithilfe der PutDataLakeSettings Lake Formation Formation-API erstellen.

Die folgenden Berechtigungen sind erforderlich, um einen Data Lake-Administrator zu erstellen. Der Administrator Benutzer verfügt implizit über diese Berechtigungen.

• lakeformation:PutDataLakeSettings

• lakeformation:GetDataLakeSettings

Wenn Sie einem Benutzer die AWSLakeFormationDataAdmin Richtlinie gewähren, kann dieser Benutzer keine weiteren Lake Formation-Administratorbenutzer erstellen.

Um einen Data Lake-Administrator (Konsole) zu erstellen

1. Wenn der Benutzer, der Data Lake-Administrator werden soll, noch nicht existiert, verwenden Sie die IAM-Konsole, um ihn zu erstellen. Wählen Sie andernfalls einen vorhandenen Benutzer aus, der der Data Lake-Administrator werden soll.

   Anmerkung

   Es wird empfohlen, keinen IAM-Administratorbenutzer (Benutzer mit der AdministratorAccess AWS verwalteten Richtlinie) als Data Lake-Administrator auszuwählen.

   Ordnen Sie dem Benutzer die folgenden AWS verwalteten Richtlinien zu:

   Richtlinien	Obligatorisch?	Hinweise
   AWSLakeFormationDataAdmin	zwingend erforderlich	Grundlegende Data Lake-Administratorberechtigungen. Diese AWS verwaltete Richtlinie enthält eine ausdrückliche Ablehnung des Lake Formation Formation-API-Vorgangs, wodurch Benutzer PutDataLakeSetting daran gehindert werden, neue Data Lake-Administratoren zu erstellen.
   AWSGlueConsoleFullAccess, CloudWatchLogsReadOnlyAccess	Optional	Fügen Sie diese Richtlinien hinzu, wenn der Data Lake-Administrator Probleme mit Workflows beheben soll, die anhand von Lake Formation-Blueprints erstellt wurden. Diese Richtlinien ermöglichen es dem Data Lake-Administrator, Informationen zur Fehlerbehebung in der AWS Glue Konsole und der Amazon CloudWatch Logs Konsole einzusehen. Informationen zu Workflows finden Sie unterDaten mithilfe von Workflows in Lake Formation importieren.
   AWSLakeFormationCrossAccountManager	Optional	Fügen Sie diese Richtlinie hinzu, damit der Data Lake-Administrator kontoübergreifende Berechtigungen für Datenkatalogressourcen gewähren und widerrufen kann. Weitere Informationen finden Sie unter Kontoübergreifender Datenaustausch in Lake Formation.
   AmazonAthenaFullAccess	Optional	Fügen Sie diese Richtlinie an, wenn der Data Lake-Administrator Abfragen in Amazon Athena ausführen wird.

2. Fügen Sie die folgende Inline-Richtlinie an, die dem Data Lake-Administrator die Berechtigung erteilt, die mit dem Service verknüpfte Lake Formation Formation-Rolle zu erstellen. Ein empfohlener Name für die Richtlinie lautetLakeFormationSLR.

   Die serviceverknüpfte Rolle ermöglicht es dem Data Lake-Administrator, Amazon S3 S3-Standorte einfacher bei Lake Formation zu registrieren. Weitere Informationen zur dienstbezogenen Rolle Lake Formation finden Sie unterVerwenden von serviceverknüpften Rollen für Lake Formation.

   Wichtig

   Ersetzen Sie den Text in allen folgenden Richtlinien <account-id>durch eine gültige AWS Kontonummer.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "iam:CreateServiceLinkedRole",
               "Resource": "*",
               "Condition": {
                   "StringEquals": {
                       "iam:AWSServiceName": "lakeformation.amazonaws.com"
                   }
               }
           },
           {
               "Effect": "Allow",
               "Action": [
                   "iam:PutRolePolicy"
               ],
               "Resource": "arn:aws:iam::<account-id>:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess"
           }
       ]
   }
   

3. (Optional) Fügen Sie dem Benutzer die folgende PassRole Inline-Richtlinie hinzu. Diese Richtlinie ermöglicht es dem Data Lake-Administrator, Workflows zu erstellen und auszuführen. Die iam:PassRole Berechtigung ermöglicht es dem Workflow, die Rolle LakeFormationWorkflowRole zum Erstellen von Crawlern und Jobs zu übernehmen und die Rolle den erstellten Crawlern und Jobs zuzuweisen. Ein empfohlener Name für die Richtlinie lautet. UserPassRole

   Wichtig

   <account-id>Durch eine gültige AWS Kontonummer ersetzen.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "PassRolePermissions",
               "Effect": "Allow",
               "Action": [
                   "iam:PassRole"
               ],
               "Resource": [
                   "arn:aws:iam::<account-id>:role/LakeFormationWorkflowRole"
               ]
           }
       ]
   }

4. (Optional) Fügen Sie diese zusätzliche Inline-Richtlinie bei, wenn Ihr Konto kontoübergreifende Lake Formation Formation-Berechtigungen gewährt oder erhält. Diese Richtlinie ermöglicht es dem Data Lake-Administrator, Einladungen zur gemeinsamen Nutzung von Ressourcen anzuzeigen und anzunehmen AWS Resource Access Manager (AWS RAM). Außerdem beinhaltet die Richtlinie für Data Lake-Administratoren im AWS Organizations Verwaltungskonto die Erlaubnis, Organisationen kontenübergreifende Zuschüsse zu gewähren. Weitere Informationen finden Sie unter Kontoübergreifender Datenaustausch in Lake Formation.

   Ein empfohlener Name für die Richtlinie lautetRAMAccess.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ram:AcceptResourceShareInvitation",
                   "ram:RejectResourceShareInvitation",
                   "ec2:DescribeAvailabilityZones",
                   "ram:EnableSharingWithAwsOrganization"
               ],
               "Resource": "*"
           }
       ]
   }

5. Öffnen Sie die AWS Lake Formation Konsole unter https://console.aws.amazon.com/lakeformation/ und melden Sie sich als der Administratorbenutzer an, den Sie in der Richtlinie erstellt haben, Erstellen Sie einen Benutzer mit Administratorzugriff oder als AdministratorAccess Benutzer mit einer AWS benutzerverwalteten Richtlinie.

6. Wenn das Fenster Welcome to Lake Formation angezeigt wird, wählen Sie den IAM-Benutzer aus, den Sie in Schritt 1 erstellt oder ausgewählt haben, und klicken Sie dann auf Get started.

7. Wenn das Fenster Willkommen bei Lake Formation nicht angezeigt wird, führen Sie die folgenden Schritte aus, um einen Lake Formation-Administrator zu konfigurieren.

   1. Wählen Sie im Navigationsbereich unter Administratoren die Option Administrative Rollen und Aufgaben aus. Wählen Sie auf der Konsolenseite im Abschnitt Data Lake-Administratoren die Option Hinzufügen aus.

   2. Wählen Sie im Dialogfeld Administratoren hinzufügen unter Zugriffstyp die Option Data Lake-Administrator aus.

   3. Wählen Sie für IAM-Benutzer und -Rollen den IAM-Benutzer aus, den Sie in Schritt 1 erstellt oder ausgewählt haben, und klicken Sie dann auf Speichern.

Ändern Sie das Standardberechtigungsmodell oder verwenden Sie den hybriden Zugriffsmodus

Lake Formation beginnt damit, dass die Einstellungen „Nur IAM-Zugriffskontrolle verwenden“ aktiviert sind, um die Kompatibilität mit dem vorhandenen AWS Glue Data Catalog Verhalten zu gewährleisten. Mit diesen Einstellungen können Sie den Zugriff auf Ihre Daten im Data Lake und dessen Metadaten über IAM-Richtlinien und Amazon S3 S3-Bucket-Richtlinien verwalten.

Um den Übergang von Data Lake-Berechtigungen von einem IAM- und Amazon S3 S3-Modell zu Lake Formation Formation-Berechtigungen zu vereinfachen, empfehlen wir Ihnen, den hybriden Zugriffsmodus für Data Catalog zu verwenden. Mit dem Hybridzugriffsmodus haben Sie einen inkrementellen Pfad, über den Sie Lake Formation Formation-Berechtigungen für eine bestimmte Gruppe von Benutzern aktivieren können, ohne andere bestehende Benutzer oder Workloads zu unterbrechen.

Weitere Informationen finden Sie unter Hybrider Zugriffsmodus.

Deaktivieren Sie die Standardeinstellungen, um alle vorhandenen Benutzer einer Tabelle in einem einzigen Schritt nach Lake Formation zu verschieben.

Wichtig

Wenn Sie bereits AWS Glue Data Catalog Datenbanken und Tabellen haben, folgen Sie nicht den Anweisungen in diesem Abschnitt. Folgen Sie stattdessen den Anweisungen in AWS GlueDatenberechtigungen für das AWS Lake Formation Modell aktualisieren.

Warnung

Wenn Sie über eine Automatisierung verfügen, die Datenbanken und Tabellen im Datenkatalog erstellt, können die folgenden Schritte dazu führen, dass die Automatisierungs- und Downstream-Jobs zum Extrahieren, Transformieren und Laden (ETL) fehlschlagen. Fahren Sie erst fort, nachdem Sie entweder Ihre vorhandenen Prozesse geändert oder den erforderlichen Prinzipalen explizite Lake Formation Formation-Berechtigungen erteilt haben. Informationen zu den Berechtigungen für Lake Formation finden Sie unterReferenz zu den Genehmigungen von Lake Formation.

So ändern Sie die Standardeinstellungen für den Datenkatalog

1. Fahren Sie in der Lake Formation Formation-Konsole unter https://console.aws.amazon.com/lakeformation/ fort. Stellen Sie sicher, dass Sie als der Administratorbenutzer, den Sie in der verwalteten Richtlinie erstellt haben, Erstellen Sie einen Benutzer mit Administratorzugriff oder als Benutzer mit der AdministratorAccess AWS verwalteten Richtlinie angemeldet sind.

2. Ändern Sie die Datenkatalogeinstellungen:

   1. Wählen Sie im Navigationsbereich unter Verwaltung die Option Datenkatalogeinstellungen aus.

   2. Deaktivieren Sie beide Kontrollkästchen und wählen Sie Speichern.

      

3. Widerrufen Sie IAMAllowedPrincipals die Erlaubnis für Datenbankersteller.

   1. Wählen Sie im Navigationsbereich unter Administration die Option Administrative Rollen und Aufgaben aus.

   2. Wählen Sie auf der Konsolenseite für Administratorrollen und Aufgaben im Abschnitt Datenbankersteller die IAMAllowedPrincipals Gruppe aus und klicken Sie auf Widerrufen.

      Das Dialogfeld „Berechtigungen widerrufen“ wird angezeigt, in dem angegeben wird, dass die IAMAllowedPrincipals Person über die Berechtigung „Datenbank erstellen“ verfügt.

   3. Wählen Sie „Widerrufen“.

Benutzern von Lake Formation Berechtigungen zuweisen

Erstellen Sie einen Benutzer, der Zugriff auf den Data Lake in haben soll AWS Lake Formation. Dieser Benutzer verfügt über die geringsten Rechte, um den Data Lake abzufragen.

Weitere Informationen zum Erstellen von Benutzern oder Gruppen finden Sie unter IAM-Identitäten im IAM-Benutzerhandbuch.

So weisen Sie einem Benutzer ohne Administratorrechte Berechtigungen für den Zugriff auf Lake Formation Formation-Daten zu

1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam und melden Sie sich als Administratorbenutzer an, den Sie in der verwalteten Richtlinie erstellt haben, Erstellen Sie einen Benutzer mit Administratorzugriff oder als Benutzer mit der AdministratorAccess AWS verwalteten Richtlinie.

2. Wählen Sie Benutzer oder Benutzergruppen aus.

3. Wählen Sie in der Liste den Namen des Benutzers oder der Gruppe, in die eine Richtlinie eingebettet werden soll.

   Wählen Sie Permissions (Berechtigungen).

4. Wählen Sie „Berechtigungen hinzufügen“ und anschließend „Richtlinien direkt anhängen“. Geben Sie Athena in das Textfeld Richtlinien filtern ein. Markieren Sie in der Ergebnisliste das Kästchen fürAmazonAthenaFullAccess.

5. Wählen Sie die Schaltfläche Richtlinie erstellen. Wählen Sie auf der Seite Richtlinie erstellen die Registerkarte JSON aus. Kopieren Sie den folgenden Code und fügen Sie ihn in den Richtlinien-Editor ein.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "lakeformation:GetDataAccess",
                   "glue:GetTable",
                   "glue:GetTables",
                   "glue:SearchTables",
                   "glue:GetDatabase",
                   "glue:GetDatabases",
                   "glue:GetPartitions",
                   "lakeformation:GetResourceLFTags",
                   "lakeformation:ListLFTags",
                   "lakeformation:GetLFTag",
                   "lakeformation:SearchTablesByLFTags",
                   "lakeformation:SearchDatabasesByLFTags"
               ],
               "Resource": "*"
           }
       ]
   }

6. Klicken Sie unten auf die Schaltfläche Weiter, bis Sie die Seite „Richtlinie überprüfen“ sehen. Geben Sie einen Namen für die Richtlinie ein, zum BeispielDatalakeUserBasic. Wählen Sie Richtlinie erstellen und schließen Sie dann die Registerkarte Richtlinien oder das Browserfenster.

Konfigurieren Sie einen Amazon S3 S3-Standort für Ihren Data Lake

Um Lake Formation zur Verwaltung und Sicherung der Daten in Ihrem Data Lake zu verwenden, müssen Sie zunächst einen Amazon S3 S3-Standort registrieren. Wenn Sie einen Standort registrieren, werden dieser Amazon S3 S3-Pfad und alle Ordner unter diesem Pfad registriert, sodass Lake Formation Berechtigungen auf Speicherebene erzwingen kann. Wenn der Benutzer Daten von einer integrierten Engine wie Amazon Athena anfordert, bietet Lake Formation Datenzugriff, anstatt die Benutzerberechtigungen zu verwenden.

Wenn Sie einen Standort registrieren, geben Sie eine IAM-Rolle an, die Lese-/Schreibberechtigungen für diesen Standort gewährt. Lake Formation übernimmt diese Rolle bei der Bereitstellung temporärer Anmeldeinformationen für integrierte AWS Dienste, die Zugriff auf Daten am registrierten Amazon S3 S3-Standort anfordern. Sie können entweder die serviceverknüpfte Rolle (SLR) von Lake Formation angeben oder Ihre eigene Rolle erstellen.

Verwenden Sie eine benutzerdefinierte Rolle in den folgenden Situationen:

• Sie planen, Metriken in Amazon CloudWatch Logs zu veröffentlichen. Die benutzerdefinierte Rolle muss zusätzlich zu den SLR-Berechtigungen eine Richtlinie für das Hinzufügen von CloudWatch Protokollen in Logs und das Veröffentlichen von Metriken enthalten. Ein Beispiel für eine Inline-Richtlinie, die die erforderlichen CloudWatch Berechtigungen gewährt, finden Sie unter. Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden

• Der Amazon S3 S3-Standort ist in einem anderen Konto vorhanden. Details hierzu finden Sie unter Registrierung eines Amazon S3 S3-Standorts in einem anderen AWS Konto.

• Der Amazon S3 S3-Standort enthält Daten, die mit einem verschlüsselt sind Von AWS verwalteter Schlüssel. Details dazu finden Sie unter Registrierung eines verschlüsselten Amazon S3 S3-Standorts und AWS Kontoübergreifende Registrierung eines verschlüsselten Amazon S3 S3-Standorts.

• Sie planen, mit Amazon EMR auf den Amazon S3-Standort zuzugreifen. Weitere Informationen zu den Rollenanforderungen finden Sie unter IAM-Rollen für Lake Formation im Amazon EMR Management Guide.

Die von Ihnen gewählte Rolle muss über die erforderlichen Berechtigungen verfügen, wie unter beschrieben. Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden Anweisungen zur Registrierung eines Amazon S3 S3-Standorts finden Sie unterHinzufügen eines Amazon S3 S3-Standorts zu Ihrem Data Lake.

(Optional) Einstellungen für die externe Datenfilterung

Wenn Sie beabsichtigen, Daten in Ihrem Data Lake mithilfe von Abfrage-Engines von Drittanbietern zu analysieren und zu verarbeiten, müssen Sie sich dafür entscheiden, externen Engines den Zugriff auf von Lake Formation verwaltete Daten zu ermöglichen. Wenn Sie sich nicht anmelden, können externe Engines nicht auf Daten an Amazon S3 S3-Standorten zugreifen, die bei Lake Formation registriert sind.

Lake Formation unterstützt Berechtigungen auf Spaltenebene, um den Zugriff auf bestimmte Spalten in einer Tabelle einzuschränken. Integrierte Analysedienste wie Amazon Athena Amazon Redshift Spectrum und Amazon EMR rufen ungefilterte Tabellenmetadaten aus dem ab. AWS Glue Data Catalog Das eigentliche Filtern von Spalten in Abfrageantworten liegt in der Verantwortung des integrierten Dienstes. Es liegt in der Verantwortung der Drittanbieteradministratoren, mit Berechtigungen ordnungsgemäß umzugehen, um unbefugten Zugriff auf Daten zu verhindern.

So stimmen Sie zu, dass Drittanbieter-Engines auf Daten zugreifen und diese filtern können (Konsole)

1. Fahren Sie in der Lake Formation Formation-Konsole unter https://console.aws.amazon.com/lakeformation/ fort. Stellen Sie sicher, dass Sie als Principal angemeldet sind, der über die IAM-Berechtigung für den Lake Formation PutDataLakeSettings API-Vorgang verfügt. Der IAM-Administratorbenutzer, den Sie erstellt haben, Melde dich an für ein AWS-Konto verfügt über diese Berechtigung.

2. Wählen Sie im Navigationsbereich unter Administration die Option Anwendungsintegrationseinstellungen aus.

3. Gehen Sie auf der Seite mit den Einstellungen für die Anwendungsintegration wie folgt vor:

   1. Markieren Sie das Kästchen Erlauben Sie externen Engines, Daten an Amazon S3 S3-Standorten zu filtern, die bei Lake Formation registriert sind.

   2. Geben Sie Sitzungs-Tag-Werte ein, die für Engines von Drittanbietern definiert sind.

   3. Geben Sie für AWS Konto-IDs die Konto-IDs ein, von denen Drittanbieter-Engines auf Standorte zugreifen dürfen, die bei Lake Formation registriert sind. Drücken Sie nach jeder Konto-ID die Eingabetaste.

   4. Wählen Sie Speichern.

Informationen dazu, wie externe Engines ohne Überprüfung des Sitzungs-Tags auf Daten zugreifen können, finden Sie unter Anwendungsintegration für vollständigen Tabellenzugriff

(Optional) Gewähren Sie Zugriff auf den Datenkatalog-Verschlüsselungsschlüssel

Wenn der verschlüsselt AWS Glue Data Catalog ist, gewähren Sie allen Prinzipalen, die Lake Formation Formation-Berechtigungen für Data Catalog-Datenbanken und -Tabellen gewähren müssen, AWS Identity and Access Management (IAM) -Berechtigungen für den AWS KMS Schlüssel.

Weitere Informationen finden Sie im AWS Key Management Service -Entwicklerhandbuch.

(Optional) Erstellen Sie eine IAM-Rolle für Workflows

Mit AWS Lake Formation können Sie Ihre Daten mithilfe von Workflows importieren, die von AWS Glue Crawlern ausgeführt werden. Ein Workflow definiert die Datenquelle und den Zeitplan für den Import von Daten in Ihren Data Lake. Mithilfe der von Lake Formation bereitgestellten Blueprints oder Vorlagen können Sie ganz einfach Workflows definieren.

Wenn Sie einen Workflow erstellen, müssen Sie ihm eine AWS Identity and Access Management (IAM-) Rolle zuweisen, die Lake Formation die erforderlichen Berechtigungen zum Ingestieren der Daten gewährt.

Das folgende Verfahren setzt Vertrautheit mit IAM voraus.

Um eine IAM-Rolle für Workflows zu erstellen

1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam und melden Sie sich als der Administratorbenutzer an, den Sie in der verwalteten Richtlinie erstellt haben, Erstellen Sie einen Benutzer mit Administratorzugriff oder als Benutzer mit der AdministratorAccess AWS verwalteten Richtlinie.

2. Wählen Sie im Navigationsbereich Rollen und anschließend Rolle erstellen aus.

3. Wählen Sie auf der Seite Rolle erstellen die Option AWS Service und dann Glue aus. Wählen Sie Weiter aus.

4. Suchen Sie auf der Seite „Berechtigungen hinzufügen“ nach der AWSGlueServiceRoleverwalteten Richtlinie und aktivieren Sie das Kontrollkästchen neben dem Richtliniennamen in der Liste. Schließen Sie dann den Assistenten zum Erstellen von Rollen ab und geben Sie der Rolle einen NamenLFWorkflowRole. Wählen Sie zum Abschluss „Rolle erstellen“.

5. Suchen Sie auf der Rollenseite nach dem Rollennamen LFflowRole und wählen Sie ihn aus.

6. Wählen Sie auf der Seite mit der Rollenzusammenfassung unter dem Tab Berechtigungen die Option Inline-Richtlinie erstellen aus. Navigieren Sie auf dem Bildschirm „Richtlinie erstellen“ zur Registerkarte JSON und fügen Sie die folgende Inline-Richtlinie hinzu. Ein empfohlener Name für die Richtlinie lautetLakeFormationWorkflow.

   Wichtig

   Ersetzen Sie den Text in der folgenden Richtlinie <account-id>durch eine gültige AWS-Konto Zahl.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                    "lakeformation:GetDataAccess",
                    "lakeformation:GrantPermissions"
                ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": ["iam:PassRole"],
               "Resource": [
                   "arn:aws:iam::<account-id>:role/LakeFormationWorkflowRole"
               ]
           }
       ]
   }

   Im Folgenden finden Sie eine kurze Beschreibung der Berechtigungen in dieser Richtlinie:

   • lakeformation:GetDataAccessermöglicht es Aufträgen, die durch den Workflow erstellt wurden, an den Zielspeicherort zu schreiben.

   • lakeformation:GrantPermissionsermöglicht es dem Workflow, die SELECT Berechtigung für Zieltabellen zu erteilen.

   • iam:PassRoleermöglicht es dem Service, die Rolle beim LakeFormationWorkflowRole Erstellen von Crawlern und Jobs (Instanzen von Workflows) zu übernehmen und die Rolle den erstellten Crawlern und Jobs zuzuweisen.

7. Stellen Sie sicher, dass der Rolle LakeFormationWorkflowRole zwei Richtlinien zugeordnet sind.

8. Wenn Sie Daten aufnehmen, die sich außerhalb des Data Lake-Speicherorts befinden, fügen Sie eine Inline-Richtlinie hinzu, die Berechtigungen zum Lesen der Quelldaten gewährt.