Requisitos de los roles utilizados para registrar ubicaciones

Debe especificar un rol AWS Identity and Access Management (IAM) al registrar una ubicación de Amazon Simple Storage Service (Amazon S3). AWS Lake Formation asume esa función al acceder a los datos en esa ubicación.

Para registrar una ubicación, puede utilizar uno de los siguientes tipos de rol:

• El rol vinculado al servicio de Lake Formation. Este rol concede los permisos necesarios sobre la ubicación. Utilizar este rol es la forma más sencilla de registrar la ubicación. Para obtener más información, consulte Uso de roles vinculados a servicios para Lake Formation.

• Un rol definido por el usuario. Utilice un rol definido por el usuario cuando necesite conceder más permisos de los que proporciona el rol vinculado al servicio.

  Debe utilizar un rol definido por el usuario en las circunstancias siguientes:

  • Al registrar una ubicación en otra cuenta.

    Para obtener más información, consulte Registrar una ubicación de Amazon S3 en otra cuenta AWS y Registro de una ubicación cifrada de Amazon S3 entre cuentas AWS.

  • Si utilizó un AWS managed CMK (aws/s3) para cifrar la ubicación de Amazon S3.

    Para obtener más información, consulte Registro de una ubicación cifrada de Amazon S3.

  • Si planeas acceder a la ubicación a través de AmazonEMR.

    Si ya has registrado una ubicación con el rol vinculado al servicio y quieres empezar a acceder a la ubicación con AmazonEMR, debes anular el registro de la ubicación y volver a registrarla con un rol definido por el usuario. Para obtener más información, consulte Dar de baja el registro de una ubicación de Amazon S3.

Los siguientes son los requisitos para un rol definido por el usuario:

• Al crear el nuevo rol, en la página Crear rol de la IAM consola, elija AWS servicio y, a continuación, en Elegir un caso de uso, elija Lake Formation.

  Si crea el rol utilizando una ruta diferente, asegúrese de que el rol tenga una relación de confianza con lakeformation.amazonaws.com. Para más información, consulte Modificación de una política de confianza de rol (consola).

• El rol debe tener relaciones de confianza con las siguientes entidades:

  • glue.amazonaws.com

  • lakeformation.amazonaws.com

  Para más información, consulte Modificación de una política de confianza de rol (consola).

• El rol debe tener una política en línea que conceda permisos de lectura/escritura de Amazon S3 en la ubicación. La siguiente es una política característica.

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "s3:PutObject",
                  "s3:GetObject",
                  "s3:DeleteObject"
              ],
              "Resource": [
                  "arn:aws:s3:::awsexamplebucket/*"
              ]
          },
          {
              "Effect": "Allow",
              "Action": [
                  "s3:ListBucket"
              ],
              "Resource": [
                  "arn:aws:s3:::awsexamplebucket"
              ]
          }
      ]
  }

• Agregue la siguiente política de confianza al IAM rol para permitir que el servicio Lake Formation asuma el rol y venda credenciales temporales a los motores analíticos integrados.

  Para incluir el contexto de usuario de IAM Identity Center en los CloudTrail registros, la política de confianza debe tener el permiso para realizar la acción. sts:SetContext «sts:SetContext»

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "DataCatalogViewDefinerAssumeRole1",
              "Effect": "Allow",
              "Principal": {
                 "Service": [
                      "glue.amazonaws.com",
                      "lakeformation.amazonaws.com"
                   ]
              },
              "Action": [
                  "sts:AssumeRole",
                  "sts:SetContext"
              ]
          }
      ]
  }    

• El administrador del lago de datos que registra la ubicación debe tener el permiso iam:PassRole para el rol.

  La siguiente es una política insertada que concede este permiso. Reemplazar <account-id> por un número de AWS cuenta válido y sustitúyalo <role-name> por el nombre del rol.

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "PassRolePermissions",
              "Effect": "Allow",
              "Action": [
                  "iam:PassRole"
              ],
              "Resource": [
                  "arn:aws:iam::<account-id>:role/<role-name>"
              ]
          }
      ]
  }

• Para permitir que Lake Formation añada CloudWatch registros en Logs y publique métricas, añada la siguiente política en línea.

  nota

  Escribir en CloudWatch Logs conlleva un cargo.

  
  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "Sid1",
              "Effect": "Allow",
              "Action": [
                  "logs:CreateLogStream",
                  "logs:CreateLogGroup",
                  "logs:PutLogEvents"
              ],
              "Resource": [
                   "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*",
                   "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*:log-stream:*"
              ]
          }
      ]
  }