Verwenden von serviceverknüpften Rollen für Lake Formation - AWS Lake Formation
Dienstbezogene Rollenberechtigungen für Lake FormationErstellung einer dienstbezogenen Rolle für Lake FormationBearbeiten einer serviceverknüpften Rolle für Lake FormationLöschen einer serviceverknüpften Rolle für Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für Lake Formation

AWS Lake Formation verwendet eine dienstbezogene AWS Identity and Access Management (IAM-) Rolle. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Lake Formation verknüpft ist. Die dienstverknüpfte Rolle ist von Lake Formation vordefiniert und umfasst alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Lake Formation, da Sie keine Rolle erstellen und die erforderlichen Berechtigungen manuell hinzufügen müssen. Lake Formation definiert die Berechtigungen seiner dienstbezogenen Rolle, und sofern nicht anders definiert, kann nur Lake Formation seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Diese dienstbezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:

  • lakeformation.amazonaws.com

Wenn Sie eine serviceverknüpfte Rolle in Konto A verwenden, um einen Amazon S3 S3-Standort zu registrieren, der Konto B gehört, muss die Amazon S3 S3-Bucket-Richtlinie (eine ressourcenbasierte Richtlinie) in Konto B Zugriffsberechtigungen für die serviceverknüpfte Rolle in Konto A gewähren.

Anmerkung

Richtlinien zur Servicesteuerung (SCPs) wirken sich nicht auf servicebezogene Rollen aus.

Weitere Informationen finden Sie unter Service Control Policies (SCPs) im AWS Organizations Benutzerhandbuch.

Dienstbezogene Rollenberechtigungen für Lake Formation

Lake Formation verwendet die angegebene dienstbezogene Rolle. AWSServiceRoleForLakeFormationDataAccess Diese Rolle bietet eine Reihe von Amazon Simple Storage Service (Amazon S3) -Berechtigungen, die es dem integrierten Service von Lake Formation (z. B. Amazon Athena) ermöglichen, auf registrierte Standorte zuzugreifen. Wenn Sie einen Data Lake-Standort registrieren, müssen Sie eine Rolle angeben, die über die erforderlichen Amazon S3 S3-Lese-/Schreibberechtigungen für diesen Standort verfügt. Anstatt eine Rolle mit den erforderlichen Amazon S3 S3-Berechtigungen zu erstellen, können Sie diese serviceverknüpfte Rolle verwenden.

Wenn Sie die serviceverknüpfte Rolle zum ersten Mal als Rolle angeben, mit der ein Pfad registriert werden soll, werden die serviceverknüpfte Rolle und eine neue IAM-Richtlinie in Ihrem Namen erstellt. Lake Formation fügt den Pfad zur Inline-Richtlinie hinzu und fügt ihn der serviceverknüpften Rolle hinzu. Wenn Sie nachfolgende Pfade mit der serviceverknüpften Rolle registrieren, fügt Lake Formation den Pfad der vorhandenen Richtlinie hinzu.

Registrieren Sie einen Data Lake-Standort, während Sie als Data Lake-Administrator angemeldet sind. Suchen Sie dann in der IAM-Konsole nach der Rolle AWSServiceRoleForLakeFormationDataAccess und sehen Sie sich die zugehörigen Richtlinien an.

Nachdem Sie den Standort registriert habens3://my-kinesis-test/logs, erstellt Lake Formation beispielsweise die folgende Inline-Richtlinie und hängt sie an an. AWSServiceRoleForLakeFormationDataAccess

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::my-kinesis-test/logs/*"
            ]
        },
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": [
                "arn:aws:s3:::my-kinesis-test"
            ]
        }
    ]
}

Erstellung einer dienstbezogenen Rolle für Lake Formation

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie einen Amazon S3 S3-Standort bei Lake Formation in der AWS Management Console, der AWS CLI oder der AWS API registrieren, erstellt Lake Formation die serviceverknüpfte Rolle für Sie.

Wichtig

Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Weitere Informationen finden Sie unter Eine neue Rolle ist in meinem IAM-Konto erschienen.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie einen Amazon S3 S3-Standort bei Lake Formation registrieren, erstellt Lake Formation die serviceverknüpfte Rolle erneut für Sie.

Sie können die IAM-Konsole auch verwenden, um eine serviceverknüpfte Rolle mit dem Lake Formation Formation-Anwendungsfall zu erstellen. Erstellen Sie in der AWS CLI oder der AWS API eine dienstverknüpfte Rolle mit dem lakeformation.amazonaws.com Dienstnamen. Weitere Informationen finden Sie unter Erstellen einer serviceverknüpfte Rolle im IAM-Leitfaden. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.

Bearbeiten einer serviceverknüpften Rolle für Lake Formation

In Lake Formation können Sie die AWSServiceRoleForLakeFormationDataAccess serviceverknüpfte Rolle nicht bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für Lake Formation

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Anmerkung

Wenn der Lake Formation Formation-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

Um Lake Formation-Ressourcen zu löschen, die von der Lake Formation verwendet werden

  • Wenn Sie die serviceverknüpfte Rolle verwendet haben, um Amazon S3 S3-Standorte bei Lake Formation zu registrieren, müssen Sie vor dem Löschen der serviceverknüpften Rolle den Standort abmelden und ihn mit einer benutzerdefinierten Rolle erneut registrieren.

So löschen Sie die serviceverknüpfte Rolle mit IAM

Verwenden Sie die IAM-Konsole, die oder die API, um die serviceverknüpfte AWS CLI Rolle zu löschen. AWS AWSServiceRoleForLakeFormationDataAccess Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Leitfaden.