Requisitos de los roles utilizados para registrar ubicaciones - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos de los roles utilizados para registrar ubicaciones

Debe especificar un rol AWS Identity and Access Management (IAM) al registrar una ubicación de Amazon Simple Storage Service (Amazon S3). AWS Lake Formation asume esa función al acceder a los datos en esa ubicación.

Para registrar una ubicación, puede utilizar uno de los siguientes tipos de rol:

Los siguientes son los requisitos para un rol definido por el usuario:

  • Al crear el nuevo rol, en la página Crear rol de la IAM consola, elija AWS servicio y, a continuación, en Elegir un caso de uso, elija Lake Formation.

    Si crea el rol utilizando una ruta diferente, asegúrese de que el rol tenga una relación de confianza con lakeformation.amazonaws.com. Para más información, consulte Modificación de una política de confianza de rol (consola).

  • El rol debe tener relaciones de confianza con las siguientes entidades:

    • glue.amazonaws.com

    • lakeformation.amazonaws.com

    Para más información, consulte Modificación de una política de confianza de rol (consola).

  • El rol debe tener una política en línea que conceda permisos de lectura/escritura de Amazon S3 en la ubicación. La siguiente es una política característica.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::awsexamplebucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::awsexamplebucket" ] } ] }
  • Agregue la siguiente política de confianza al IAM rol para permitir que el servicio Lake Formation asuma el rol y venda credenciales temporales a los motores analíticos integrados.

    Para incluir el contexto de usuario de IAM Identity Center en los CloudTrail registros, la política de confianza debe tener el permiso para realizar la acción. sts:SetContext «sts:SetContext»

    { "Version": "2012-10-17", "Statement": [ { "Sid": "DataCatalogViewDefinerAssumeRole1", "Effect": "Allow", "Principal": { "Service": [ "glue.amazonaws.com", "lakeformation.amazonaws.com" ] }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] }
  • El administrador del lago de datos que registra la ubicación debe tener el permiso iam:PassRole para el rol.

    La siguiente es una política insertada que concede este permiso. Reemplazar <account-id> por un número de AWS cuenta válido y sustitúyalo <role-name> por el nombre del rol.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "PassRolePermissions", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<account-id>:role/<role-name>" ] } ] }
  • Para permitir que Lake Formation añada CloudWatch registros en Logs y publique métricas, añada la siguiente política en línea.

    nota

    Escribir en CloudWatch Logs conlleva un cargo.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Sid1", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*", "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*:log-stream:*" ] } ] }