Verwenden von serviceverknüpften Rollen für die Lake Formation - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für die Lake Formation

AWS Lake Formationverwendet einAWS Identity and Access Management(ICH)Service-verknüpfte -Rolleaus. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Lake Formation verknüpft ist. Die serviceverknüpfte Rolle wird von Lake Formation vordefiniert und enthält alle Berechtigungen, die der Service zum Aufrufen anderer benötigtAWS-Services in Ihrem Namen.

Eine serviceverknüpfte Rolle vereinfacht das Einrichten von Lake Formation, da Sie keine Rolle erstellen und die erforderlichen Berechtigungen manuell hinzufügen müssen. Lake Formation definiert die Berechtigungen seiner serviceverknüpften Rolle. Sofern keine andere Definition festgelegt wurde, kann nur Lake Formation die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Diese serviceverknüpfte Rolle vertraut bei der Übernahme dieser Rolle den folgenden Services:

  • lakeformation.amazonaws.com

Berechtigungen von serviceverknüpften Rollen für Lake Formation

Lake Formation verwendet die serviceverknüpfte Rolle mit der BezeichnungAWSServiceRoleForLakeFormationDataAccessaus. Diese Rolle bietet eine Reihe von Amazon Simple Storage Service (Amazon S3) -Berechtigungen, die den integrierten Service von Lake Formation (z.Amazon Athena) um auf registrierte Standorte zuzugreifen. Wenn Sie einen Data Lake-Standort registrieren, müssen Sie eine Rolle angeben, die über die erforderlichen Amazon S3 S3-Lese-/Schreibberechtigungen für diesen Standort verfügt. Anstatt eine Rolle mit den erforderlichen Amazon S3 S3-Berechtigungen zu erstellen, können Sie diese dienstgebundene Rolle verwenden.

Wenn Sie die dienstgebundene Rolle zum ersten Mal als die Rolle benennen, mit der Sie einen Pfad registrieren möchten, werden die dienstgebundene Rolle und eine neue IAM-Richtlinie in Ihrem Namen erstellt. Lake Formation fügt den Weg zur Inline-Richtlinie hinzu und fügt sie an die serviceverknüpfte Rolle an. Wenn Sie nachfolgende Pfade mit der dienstgebundenen Rolle registrieren, fügt Lake Formation den Pfad zur bestehenden Richtlinie hinzu.

Registrieren Sie während der Anmeldung als Data Lake-Administrator einen Data Lake-Standort. Suchen Sie dann in der IAM-Konsole nach der RolleAWSServiceRoleForLakeFormationDataAccessund zeigen Sie die angehängten Richtlinien an.

Zum Beispiel, nachdem Sie den Standort registriert habens3://my-kinesis-test/logserstellt Lake Formation die folgende Inline-Richtlinie und fügt sie anAWSServiceRoleForLakeFormationDataAccessaus.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "LakeFormationDataAccessPermissionsForS3", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::my-kinesis-test/logs/*" ] }, { "Sid": "LakeFormationDataAccessPermissionsForS3ListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::my-kinesis-test" ] } ] }

Die folgenden Berechtigungen sind erforderlich, um Speicherorte mit dieser dienstverknüpften Rolle registrieren zu können:

  • iam:CreateServiceLinkedRole

  • iam:PutRolePolicy

Der Data Lake-Administrator verfügt normalerweise über diese Berechtigungen.