Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden

Sie müssen eine AWS Identity and Access Management (IAM)-Rolle angeben, wenn Sie einen Amazon Simple Storage Service (Amazon S3)-Speicherort registrieren. AWS Lake Formation übernimmt diese Rolle, wenn es auf die Daten an diesem Speicherort zugreift.

Sie können einen der folgenden Rollentypen verwenden, um einen Standort zu registrieren:

Die serviceverknüpfte Rolle Lake Formation. Diese Rolle gewährt die erforderlichen Berechtigungen für den Standort. Die Verwendung dieser Rolle ist die einfachste Möglichkeit, den Standort zu registrieren. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für Lake Formation.
Eine benutzerdefinierte Rolle. Verwenden Sie eine benutzerdefinierte Rolle, wenn Sie mehr Berechtigungen erteilen müssen, als die serviceverknüpfte Rolle bietet.

Sie müssen unter den folgenden Umständen eine benutzerdefinierte Rolle verwenden:
- Bei der Registrierung eines Standorts in einem anderen Konto.
  
  Weitere Informationen finden Sie unter Registrieren eines Amazon S3-Speicherorts in einem anderen AWS Konto und Registrieren eines verschlüsselten Amazon S3-Speicherorts über -Konten hinweg AWS.
- Wenn Sie einen von AWS verwalteten CMK (aws/s3) verwendet haben, um den Amazon S3-Speicherort zu verschlüsseln.
  
  Weitere Informationen finden Sie unter Registrieren eines verschlüsselten Amazon S3-Speicherorts.
- Wenn Sie mit Amazon EMR auf den Standort zugreifen möchten.
  
  Wenn Sie bereits einen Standort bei der serviceverknüpften Rolle registriert haben und mit Amazon EMR auf den Standort zugreifen möchten, müssen Sie den Standort abmelden und ihn mit einer benutzerdefinierten Rolle erneut registrieren. Weitere Informationen finden Sie unter Aufheben der Registrierung eines Amazon S3-Speicherorts.

Im Folgenden sind die Anforderungen für eine benutzerdefinierte Rolle aufgeführt:

Wählen Sie beim Erstellen der neuen Rolle auf der Seite Rolle erstellen der IAM-Konsole -AWS Service und dann unter Anwendungsfall auswählen die Option Lake Formation aus.

Wenn Sie die Rolle mit einem anderen Pfad erstellen, stellen Sie sicher, dass die Rolle eine Vertrauensstellung zu hatlakeformation.amazonaws.com. Weitere Informationen finden Sie unter Ändern einer Rollenvertrauensrichtlinie (Konsole).
Die Rolle muss über Vertrauensstellungen mit den folgenden Entitäten verfügen:
- glue.amazonaws.com
- lakeformation.amazonaws.com
Weitere Informationen finden Sie unter Ändern einer Rollenvertrauensrichtlinie (Konsole).

Die Rolle muss über eine Inline-Richtlinie verfügen, die Amazon S3 Lese-/Schreibberechtigungen für den Standort gewährt. Im Folgenden finden Sie eine typische Richtlinie.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::awsexamplebucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::awsexamplebucket"
            ]
        }
    ]
}

Der Data-Lake-Administrator, der den Standort registriert, muss über die -iam:PassRoleBerechtigung für die Rolle verfügen.

Im Folgenden finden Sie eine Inline-Richtlinie, die diese Berechtigung erteilt. Ersetzen Sie <account-id> durch eine gültige AWS Kontonummer und <role-name> durch den Namen der Rolle.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/<role-name>"
            ]
        }
    ]
}

Damit Lake Formation Protokolle in CloudWatch Protokollen hinzufügen und Metriken veröffentlichen kann, fügen Sie die folgende Inline-Richtlinie hinzu.

Anmerkung

Beim Schreiben in CloudWatch Logs fällt eine Gebühr an.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Sid1",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": [
                 "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*",
                 "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*:log-stream:*"
            ]
        }
    ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Hinzufügen eines Amazon S3-Speicherorts zu Ihrem Data Lake

Verwenden von serviceverknüpften Rollen