Registrieren eines Amazon S3-Speicherorts in einem anderen AWS Konto - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Registrieren eines Amazon S3-Speicherorts in einem anderen AWS Konto

AWS Lake Formation Mit können Sie Amazon Simple Storage Service (Amazon S3)-Speicherorte über - AWS Konten hinweg registrieren. Wenn sich beispielsweise der in Konto A AWS Glue Data Catalog befindet, kann ein Benutzer in Konto A einen Amazon S3-Bucket in Konto B registrieren.

Für die Registrierung eines Amazon S3-Buckets in AWS Konto B mit einer AWS Identity and Access Management (IAM)-Rolle in AWS Konto A sind die folgenden Berechtigungen erforderlich:

  • Die Rolle in Konto A muss Berechtigungen für den Bucket in Konto B erteilen.

  • Die Bucket-Richtlinie in Konto B muss der Rolle in Konto A Zugriffsberechtigungen erteilen.

Wichtig

Vermeiden Sie es, einen Amazon S3-Bucket zu registrieren, für den die Zahlung durch den Anforderer aktiviert ist. Bei Buckets, die bei Lake Formation registriert sind, wird die Rolle, die zur Registrierung des Buckets verwendet wird, immer als Anforderer angezeigt. Wenn auf den Bucket von einem anderen AWS Konto zugegriffen wird, wird dem Bucket-Eigentümer der Datenzugriff in Rechnung gestellt, wenn die Rolle zum selben Konto gehört wie der Bucket-Eigentümer.

Sie können die serviceverknüpfte Rolle Lake Formation nicht verwenden, um einen Standort in einem anderen Konto zu registrieren. Sie müssen stattdessen eine benutzerdefinierte Rolle verwenden. Die Rolle muss die Anforderungen in erfüllenAnforderungen für Rollen, die zur Registrierung von Standorten verwendet werden. Weitere Informationen zur serviceverknüpften Rolle finden Sie unter Berechtigungen von serviceverknüpften Rollen für Lake Formation.

Bevor Sie beginnen

Überprüfen Sie die Anforderungen für die Rolle, die zur Registrierung des Standorts verwendet wurde.

So registrieren Sie einen Standort in einem anderen AWS Konto
Anmerkung

Wenn der Speicherort verschlüsselt ist, folgen Sie Registrieren eines verschlüsselten Amazon S3-Speicherorts über -Konten hinweg AWS stattdessen den Anweisungen unter .

Im folgenden Verfahren wird davon ausgegangen, dass ein Prinzipal im Konto 1111-2222-3333, das den Data Catalog enthält, den Amazon S3-Bucket registrieren möchteawsexamplebucket1, der sich im Konto 1234-5678-9012 befindet.

  1. Melden Sie sich im Konto 1111-2222-3333 bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Erstellen Sie eine neue Rolle oder zeigen Sie eine vorhandene Rolle an, die die Anforderungen in erfülltAnforderungen für Rollen, die zur Registrierung von Standorten verwendet werden. Stellen Sie sicher, dass die Rolle Amazon S3-Berechtigungen für erteiltawsexamplebucket1.

  3. Öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/. Melden Sie sich mit dem Konto 1234-5678-9012 an.

  4. Wählen Sie in der Liste Bucket-Name den Bucket-Namen ausawsexamplebucket1.

  5. Wählen Sie Permissions (Berechtigungen).

  6. Wählen Sie auf der Seite Berechtigungen die Option Bucket-Richtlinie aus.

  7. Fügen Sie im Bucket-Richtlinieneditor die folgende Richtlinie ein. Ersetzen Sie <role-name> durch den Namen Ihrer Rolle.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect":"Allow",
            "Principal": {
                "AWS":"arn:aws:iam::111122223333:role/<role-name>"
            },
            "Action":"s3:ListBucket",
            "Resource":"arn:aws:s3:::awsexamplebucket1"
        },
        {
            "Effect":"Allow",
            "Principal": {
                "AWS":"arn:aws:iam::111122223333:role/<role-name>"
            },
            "Action": [
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource":"arn:aws:s3:::awsexamplebucket1/*"
        }
    ]
}

  8. Wählen Sie Speichern.

  9. Öffnen Sie die - AWS Lake Formation Konsole unter https://console.aws.amazon.com/lakeformation/. Melden Sie sich beim Konto 1111-2222-3333 als Data-Lake-Administrator oder als Benutzer mit ausreichenden Berechtigungen zur Registrierung von Standorten an.

  10. Wählen Sie im Navigationsbereich unter Administration die Option Data-Lake-Standorte aus.

  11. Wählen Sie auf der Seite Data-Lake-Standorte die Option Standort registrieren aus.

  12. Geben Sie auf der Seite Speicherort registrieren für Amazon S3-Pfad den Bucket-Namen eins3://awsexamplebucket1.

    Anmerkung

    Sie müssen den Bucket-Namen eingeben, da kontoübergreifende Buckets nicht in der Liste angezeigt werden, wenn Sie Durchsuchen wählen.

  13. Wählen Sie für IAM-Rolle Ihre Rolle aus.

  14. Wählen Sie Speicherort registrieren aus.