Fehlerbehebung bei der Lake Formation - AWS Lake Formation
Allgemeine ProblembehebungProblembehandlung beim kontoübergreifenden ZugriffFehlerbehebung bei Blueprints und Workflows

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fehlerbehebung bei der Lake Formation

Wenn Sie bei der Arbeit mit AWS Lake Formation auf Probleme stoßen, lesen Sie die Themen in diesem Abschnitt.

Themen

Allgemeine Problembehebung

Verwenden Sie die Informationen hier, um verschiedene Probleme mit der Lake Formation zu diagnostizieren und zu beheben.

Fehler: Unzureichende Lake Formation Formation-Berechtigungen für <Amazon S3 location>

Es wurde versucht, eine Datenkatalogressource ohne Datenspeicherberechtigungen an dem Amazon S3 S3-Standort zu erstellen oder zu ändern, auf den die Ressource verweist.

Wenn eine Data Catalog-Datenbank oder -Tabelle auf einen Amazon S3 S3-Standort verweist, müssen Sie, wenn Sie Lake Formation Berechtigungen CREATE_TABLE oder gewährenALTER, auch die DATA_LOCATION_ACCESS Berechtigung für den Standort erteilen. Wenn Sie diese Berechtigungen externen Konten oder Organisationen gewähren, müssen Sie die Option „Erteilen“ angeben.

Nachdem diese Berechtigungen einem externen Konto erteilt wurden, muss der Data Lake-Administrator für dieses Konto die Berechtigungen den Prinzipalen (Benutzern oder Rollen) im Konto gewähren. Wenn Sie die von einem anderen Konto erhaltene DATA_LOCATION_ACCESS Berechtigung erteilen, müssen Sie die Katalog-ID (AWSKonto-ID) des Besitzerkontos angeben. Das Besitzerkonto ist das Konto, mit dem der Standort registriert wurde.

Weitere Informationen finden Sie unter Zugrundeliegende Datenzugriffskontrolle und Erteilung von Berechtigungen zum Speicherort von Daten.

Fehler: „Unzureichende Verschlüsselungsschlüsselberechtigungen für die Glue-API“

Es wurde versucht, Lake Formation Berechtigungen ohne AWS Identity and Access Management (IAM) -Berechtigungen für den AWS KMS Verschlüsselungsschlüssel für einen verschlüsselten Datenkatalog zu gewähren.

Meine Amazon Athena oder Amazon Redshift Redshift-Abfrage, die Manifeste verwendet, schlägt fehl

Lake Formation unterstützt keine Abfragen, die Manifeste verwenden.

Fehler: „Unzureichende Lake Formation Formation-Berechtigungen: Erforderlich, Tag im Katalog erstellen“

Der Benutzer/die Rolle muss ein Data Lake-Administrator sein.

Fehler beim Löschen ungültiger Data Lake-Administratoren

Sie sollten alle ungültigen Data Lake-Administratoren (gelöschte IAM-Rollen, die als Data Lake-Administratoren definiert sind) gleichzeitig löschen. Wenn Sie versuchen, ungültige Data Lake-Administratoren separat zu löschen, gibt Lake Formation einen ungültigen Prinzipalfehler aus.

Problembehandlung beim kontoübergreifenden Zugriff

Verwenden Sie die Informationen hier, um Probleme mit dem kontenübergreifenden Zugriff zu diagnostizieren und zu beheben.

Ich habe eine kontoübergreifende Lake Formation Formation-Genehmigung erteilt, aber der Empfänger kann die Ressource nicht sehen

  • Ist der Benutzer im Empfängerkonto ein Data Lake-Administrator? Nur Data Lake-Administratoren können die Ressource zum Zeitpunkt der Freigabe sehen.

  • Verwenden Sie die Methode der benannten Ressource für ein Konto außerhalb Ihrer Organisation? In diesem Fall muss der Data Lake-Administrator des Empfängerkontos eine Einladung zur gemeinsamen Nutzung von Ressourcen in AWS Resource Access Manager (AWS RAM) annehmen.

    Weitere Informationen finden Sie unter Annehmen einer RessourcenfreigaabeinladungAWS RAM.

  • Verwenden Sie Ressourcenrichtlinien auf Kontoebene (Datenkatalog) in? AWS Glue Falls ja, dann müssen Sie, wenn Sie die Methode der benannten Ressourcen verwenden, eine spezielle Erklärung in die Richtlinie aufnehmen, die berechtigt, Richtlinien in Ihrem Namen AWS RAM weiterzugeben.

    Weitere Informationen finden Sie unter Verwalten von kontoübergreifenden Berechtigungen mit AWS Glue und Lake Formation.

  • Verfügen Sie über die erforderlichen AWS Identity and Access Management (IAM-) Berechtigungen, um kontenübergreifenden Zugriff zu gewähren?

    Weitere Informationen finden Sie unter Voraussetzungen.

  • Für die Ressource, für die Sie Berechtigungen erteilt haben, dürfen der IAMAllowedPrincipals Gruppe keine Lake Formation Formation-Berechtigungen erteilt werden.

  • Gibt es in der deny Richtlinie auf Kontoebene eine Erklärung zu der Ressource?

Principals im Empfängerkonto können die Datenkatalogressource sehen, aber nicht auf die zugrunde liegenden Daten zugreifen

Die Prinzipale im Empfängerkonto müssen über die erforderlichen AWS Identity and Access Management (IAM-) Berechtigungen verfügen. Details hierzu finden Sie unter Zugreifen auf die zugrunde liegenden Daten einer freigegebenen Tabelle.

Fehler: „Die Zuordnung ist fehlgeschlagen, weil der Anrufer nicht autorisiert war“ beim Annehmen einer AWS RAM Einladung zur gemeinsamen Nutzung von Ressourcen

Wenn das empfangende Konto versucht, die Einladung zur gemeinsamen Nutzung anzunehmen, schlägt die Aktion fehl, nachdem einem anderen Konto Zugriff auf eine Ressource gewährt wurde. 

$ aws ram get-resource-share-associations --association-type PRINCIPAL --resource-share-arns arn:aws:ram:aws-region:444444444444:resource-share/e1d1f4ba-xxxx-xxxx-xxxx-xxxxxxxx5d8d
{
    "resourceShareAssociations": [
        {
            "resourceShareArn": "arn:aws:ram:aws-region:444444444444:resource-share/e1d1f4ba-xxxx-xxxx-xxxx-xxxxxxxx5d8d
",
            "resourceShareName": "LakeFormation-MMCC0XQBH3Y",
            "associatedEntity": "5815803XXXXX",
            "associationType": "PRINCIPAL",
            "status": "FAILED",
            "statusMessage": "Association failed because the caller was not authorized.",
            "creationTime": "2021-07-12T02:20:10.267000+00:00",
            "lastUpdatedTime": "2021-07-12T02:20:51.830000+00:00",
            "external": true
        }
    ]
}

Der Fehler tritt auf, weil der aufgerufen glue:PutResourcePolicy wird, AWS Glue wenn das Empfängerkonto die Einladung zur gemeinsamen Nutzung von Ressourcen annimmt. Um das Problem zu lösen, lassen Sie die glue:PutResourcePolicy Aktion der Rolle zu, die vom Produzenten-/Gewährerkonto verwendet wird, übernommen.

Fehler: „Nicht berechtigt, Berechtigungen für die Ressource zu erteilen“

Es wurde versucht, kontenübergreifende Berechtigungen für eine Datenbank oder Tabelle zu gewähren, die einem anderen Konto gehört. Wenn eine Datenbank oder Tabelle mit Ihrem Konto gemeinsam genutzt wird, können Sie als Data Lake-Administrator nur Benutzern in Ihrem Konto Berechtigungen dafür gewähren.

Fehler: „Zugriff zum Abrufen von AWS Unternehmensinformationen verweigert“

Ihr Konto ist ein Verwaltungskonto für AWS Organizations und Sie verfügen nicht über die erforderlichen Berechtigungen zum Abrufen von Organisationsinformationen, wie z. B. Organisationseinheiten im Konto.

Weitere Informationen finden Sie unter Required permissions for cross-account grants.

Fehler: „Organisation <organization-ID>nicht gefunden“

Es wurde versucht, eine Ressource für eine Organisation freizugeben, aber die gemeinsame Nutzung für Organisationen ist nicht aktiviert. Aktivieren Sie die gemeinsame Nutzung von Ressourcen mit Organisationen.

Weitere Informationen finden Sie unter Freigabe für AWS-Organisationen aktivieren im AWS RAM-Benutzerhandbuch.

Fehler: „Unzureichende Lake Formation Formation-Berechtigungen: Unzulässige Kombination“

Ein Benutzer hat eine Datenkatalogressource gemeinsam genutzt, während der IAMAllowedPrincipals Gruppe Lake Formation Formation-Berechtigungen für die Ressource erteilt wurden. Der Benutzer muss alle Lake Formation Formation-Berechtigungen widerrufen, IAMAllowedPrincipals bevor er die Ressource teilen kann.

ConcurrentModificationException bei Anfragen zur Erteilung/zum Widerruf an externe Konten

Wenn Benutzer gleichzeitig mehrere Anfragen zur Erteilung und/oder zum Widerruf von Berechtigungen für einen Principal gemäß LF-Tag-Richtlinien stellen, werden diese von Lake Formation ausgelöst. ConcurrentModificationException Benutzer müssen die Ausnahme catch und die fehlgeschlagene Anfrage zur Gewährung oder zum Widerruf erneut versuchen. Verwendung von Batch-Versionen derGrantPermissions/RevokePermissions-API-Operationen — BatchGrantPermissionsund BatchRevokePermissionsbehebt dieses Problem bis zu einem gewissen Grad, indem die Anzahl der gleichzeitigen Genehmigungs- und Widerrufsanfragen reduziert wird.

Fehler bei der Verwendung von Amazon EMR für den Zugriff auf kontoübergreifende Daten

Wenn Sie Amazon EMR verwenden, um auf Daten zuzugreifen, die von einem anderen Konto aus mit Ihnen geteilt wurden, versuchen einige Spark-Bibliotheken, den Glue:GetUserDefinedFunctions-API-Vorgang aufzurufen. Da die Versionen 1 und 2 der von AWS RAM verwalteten Berechtigungen diese Aktion nicht unterstützen, erhalten Sie die folgende Fehlermeldung:

"ERROR: User: arn:aws:sts::012345678901:assumed-role/my-spark-role/i-06ab8c2b59299508a is not authorized to perform: glue:GetUserDefinedFunctions on resource: arn:exampleCatalogResource because no resource-based policy allows the glue:GetUserDefinedFunctions action"

Um diesen Fehler zu beheben, muss der Data Lake-Administrator, der die Ressourcenfreigabe erstellt hat, die von AWS RAM verwalteten Berechtigungen aktualisieren, die der Ressourcenfreigabe zugeordnet sind. Version 3 der von AWS RAM verwalteten Berechtigungen ermöglicht es Prinzipalen, die glue:GetUserDefinedFunctions-Aktion auszuführen.

Wenn Sie eine neue Ressourcenfreigabe erstellen, wendet Lake Formation standardmäßig die neueste Version der von AWS RAM verwalteten Berechtigung an, sodass Sie nichts unternehmen müssen. Um den kontenübergreifenden Datenzugriff für bestehende Ressourcenfreigaben zu ermöglichen, müssen Sie die von AWS RAM verwalteten Berechtigungen auf Version 3 aktualisieren.

Die AWS RAM-Berechtigungen, die Ressourcen zugewiesen wurden, die mit Ihnen geteilt wurden, finden Sie unter AWS RAM. Die folgenden Berechtigungen sind in Version 3 enthalten:

Databases
  AWSRAMPermissionGlueDatabaseReadWriteForCatalog 
  AWSRAMPermissionGlueDatabaseReadWrite
    
Tables
  AWSRAMPermissionGlueTableReadWriteForCatalog
  AWSRAMPermissionGlueTableReadWriteForDatabase
    
AllTables
  AWSRAMPermissionGlueAllTablesReadWriteForCatalog
  AWSRAMPermissionGlueAllTablesReadWriteForDatabase
So aktualisieren Sie die Version vorhandener Ressourcenfreigaben mit von AWS RAM verwalteten Berechtigungen

Sie (Data Lake-Administrator) können entweder von AWS RAM verwaltete Berechtigungen auf eine neuere Version aktualisieren, indem Sie den Anweisungen im AWS RAM-Benutzerhandbuch folgen, oder Sie können alle vorhandenen Berechtigungen für den Ressourcentyp widerrufen und sie erneut erteilen. Wenn Sie Berechtigungen widerrufen, wird die mit dem AWS RAM-Ressourcentyp verknüpfte Ressourcenfreigabe AWS RAM gelöscht. Wenn Sie Berechtigungen erneut gewähren, erstellt AWS RAM neue Ressourcenfreigaben, denen die neueste Version der von AWS RAM verwalteten Berechtigungen angehängt wird.

Fehlerbehebung bei Blueprints und Workflows

Verwenden Sie die Informationen hier, um Blueprint- und Workflow-Probleme zu diagnostizieren und zu beheben.

<role-ARN>Mein Blueprint schlug fehl mit der Meldung „User: <user-ARN>is not authorized to perform: iam: PassRole on resource:“

Es wurde versucht, einen Blueprint von einem Benutzer zu erstellen, der nicht über ausreichende Berechtigungen verfügt, um die gewählte Rolle zu bestehen.

Aktualisieren Sie die IAM-Richtlinie des Benutzers, um die Rolle weitergeben zu können, oder bitten Sie den Benutzer, eine andere Rolle mit den erforderlichen Passrole-Berechtigungen auszuwählen.

Weitere Informationen finden Sie unter Lake-Formation-Personas und IAM-Berechtigungen – Referenz.

<role-ARN>Mein Workflow schlug fehl mit der Meldung „User: <user-ARN>is not authorized to perform: iam: PassRole on resource:“

Für die Rolle, die Sie für den Workflow angegeben haben, gab es keine Inline-Richtlinie, die es der Rolle ermöglichte, sich selbst weiterzugeben.

Weitere Informationen finden Sie unter (Optional) Erstellen einer IAM-Rolle für Workflows.

Ein Crawler in meinem Workflow ist mit der Meldung „Die Ressource ist nicht vorhanden oder der Anforderer ist nicht berechtigt, auf die angeforderten Berechtigungen zuzugreifen“ fehlgeschlagen

Eine mögliche Ursache ist, dass die übergebene Rolle nicht über ausreichende Berechtigungen verfügte, um eine Tabelle in der Zieldatenbank zu erstellen. Erteilen Sie der Rolle die CREATE_TABLE Berechtigung für die Datenbank.

Ein Crawler in meinem Workflow ist mit der Meldung „Beim Aufrufen der CreateTable Operation... ist ein Fehler aufgetreten (AccessDeniedException)“ fehlgeschlagen

Eine mögliche Ursache ist, dass die Workflow-Rolle keine Datenspeicherberechtigungen für den Zielspeicherort hatte. Erteilen Sie der Rolle Berechtigungen für den Datenspeicherort.

Weitere Informationen finden Sie unter DATA_LOCATION_ACCESS.