Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Solución de problemas de Lake Formation
Si tiene problemas al trabajar con AWS Lake Formation, consulte los temas de esta sección.
Temas
Solución de problemas generales
Utilice esta información para diagnosticar y solucionar diversos problemas de Lake Formation.
Error: permisos insuficientes para Lake Formation en <ubicación de Amazon S3>.
Se ha intentado crear o modificar un recurso del Catálogo de datos sin permisos de ubicación de datos en la ubicación de Amazon S3 a la que apunta el recurso.
Si una base de datos o tabla del Catálogo de datos apunta a una ubicación de Amazon S3, cuando conceda los permisos Lake Formation CREATE_TABLE
o ALTER
, también deberá conceder el permiso DATA_LOCATION_ACCESS
en la ubicación. Si concede estos permisos a cuentas externas o a organizaciones, debe incluir la opción de concesión.
Una vez concedidos estos permisos a una cuenta externa, el administrador del lago de datos de dicha cuenta deberá conceder los permisos a las entidades principales (usuarios o roles) de la cuenta. Al conceder el DATA_LOCATION_ACCESS
permiso recibido de otra cuenta, debe especificar el identificador de catálogo (identificador de AWS cuenta) de la cuenta del propietario. La cuenta propietaria es la cuenta que registró la ubicación.
Para obtener más información, consulte Control de acceso a los datos subyacentes y Conceder permisos de ubicación de datos.
Error: «Permisos de clave de cifrado insuficientes para GlueAPI»
Se intentó conceder permisos a Lake Formation sin AWS Identity and Access Management (IAM) permisos en la clave de AWS KMS cifrado de un catálogo de datos cifrado.
Mi consulta Amazon Athena o la de Amazon Redshift que usa manifiestos está fallando
Lake Formation no es compatible con las consultas que utilizan manifiestos.
Error: "Permiso(s) de Lake Formation insuficientes: se requiere crear etiqueta en el catálogo"
El usuario o rol debe ser administrador del lago de datos.
Error al eliminar administradores de lagos de datos no válidos
Debe eliminar todos los administradores de lagos de datos no válidos (IAMfunciones eliminadas que se definen como administradores de lagos de datos) de forma simultánea. Si intenta eliminar administradores de lagos de datos no válidos por separado, Lake Formation da un error de entidad principal no válida.
Solución de problemas de acceso entre cuentas
Utilice esta información para diagnosticar y solucionar los problemas de acceso entre cuentas.
Temas
- He concedido un permiso entre cuentas Lake Formation pero el destinatario no puede ver el recurso
- Las entidades principales de la cuenta de destinatario pueden ver el recurso del Catálogo de datos pero no pueden acceder a los datos subyacentes
- Error: «La asociación falló porque la persona que llamó no estaba autorizada» al aceptar una invitación AWS RAM para compartir recursos
- Error: “No está autorizado a conceder permisos para el recurso”
- Error: «Acceso denegado para recuperar la información de AWS la organización»
- Error: "Organización <organization-ID> no encontrada"
- Error: "Permisos de Lake Formation insuficientes: combinación ilegal"
- ConcurrentModificationException sobre las solicitudes de concesión o revocación de cuentas externas
- Error al usar Amazon EMR para acceder a los datos compartidos a través de varias cuentas
He concedido un permiso entre cuentas Lake Formation pero el destinatario no puede ver el recurso
-
¿Es el usuario de la cuenta de destinatario administrador del lago de datos? Solo los administradores del lago de datos pueden ver el recurso en el momento del uso compartido.
-
¿Está compartiendo con una cuenta externa a su organización utilizando el método de recursos con nombre? Si es así, el administrador del lago de datos de la cuenta receptora debe aceptar una invitación para compartir recursos en AWS Resource Access Manager (AWS RAM).
Para obtener más información, consulte Aceptar una invitación para compartir recursos de AWS RAM.
-
¿Utiliza políticas de recursos a nivel de cuenta (catálogo de datos) en AWS Glue? En caso afirmativo, si utiliza el método de recursos designados, debe incluir una declaración especial en la política que autorice AWS RAM compartir políticas en su nombre.
Para obtener más información, consulte Administrar los permisos entre cuentas mediante ambos AWS Glue y Lake Formation.
-
¿Tienes los permisos AWS Identity and Access Management (IAM) necesarios para conceder el acceso entre cuentas?
Para obtener más información, consulte Requisitos previos.
-
El recurso sobre el que ha concedido permisos no debe tener ningún permiso de Lake Formation concedido al grupo
IAMAllowedPrincipals
. -
¿Existe alguna instrucción
deny
sobre el recurso en la política a nivel de cuenta?
Las entidades principales de la cuenta de destinatario pueden ver el recurso del Catálogo de datos pero no pueden acceder a los datos subyacentes
Los directores de la cuenta del destinatario deben tener los permisos necesarios AWS Identity and Access Management (IAM). Para obtener más información, consulte Acceso a los datos subyacentes de una tabla compartida.
Error: «La asociación falló porque la persona que llamó no estaba autorizada» al aceptar una invitación AWS RAM para compartir recursos
Tras conceder acceso a un recurso a una cuenta diferente, cuando la cuenta receptora intenta aceptar la invitación a compartir el recurso, la acción falla.
$ aws ram get-resource-share-associations --association-type PRINCIPAL --resource-share-arns arn:aws:ram:
aws-region
:444444444444:resource-share/e1d1f4ba-xxxx-xxxx-xxxx-xxxxxxxx5d8d { "resourceShareAssociations": [ { "resourceShareArn": "arn:aws:ram:aws-region
:444444444444:resource-share/e1d1f4ba-xxxx-xxxx-xxxx-xxxxxxxx5d8d ", "resourceShareName": "LakeFormation-MMCC0XQBH3Y", "associatedEntity": "5815803XXXXX", "associationType": "PRINCIPAL", "status": "FAILED", "statusMessage": "Association failed because the caller was not authorized.", "creationTime": "2021-07-12T02:20:10.267000+00:00", "lastUpdatedTime": "2021-07-12T02:20:51.830000+00:00", "external": true } ] }
El error se produce porque glue:PutResourcePolicy
lo invoca AWS Glue cuando la cuenta receptora acepta la invitación a compartir recursos. Para resolver el problema, permita la acción glue:PutResourcePolicy
mediante el rol asumido utilizado por la cuenta del productor/concedente.
Error: “No está autorizado a conceder permisos para el recurso”
Se ha intentado conceder permisos entre cuentas en una base de datos o tabla que es propiedad de otra cuenta. Cuando una base de datos o una tabla se comparte con su cuenta, como administrador del lago de datos, puede conceder permisos sobre ella solo a los usuarios de su cuenta.
Error: «Acceso denegado para recuperar la información de AWS la organización»
Tu cuenta es una AWS cuenta de administración de Organizations y no tienes los permisos necesarios para recuperar la información de la organización, como las unidades organizativas de la cuenta.
Para obtener más información, consulte Required permissions for cross-account grants.
Error: "Organización <organization-ID> no encontrada"
Se ha intentado compartir un recurso con una organización, pero el uso compartido con organizaciones no está habilitado. Habilite el uso compartido de recursos con organizaciones.
Para obtener más información, consulte Habilitar el uso compartido con AWS Organizaciones en la Guía del AWS RAM usuario.
Error: "Permisos de Lake Formation insuficientes: combinación ilegal"
Un usuario compartió un recurso del Catálogo de datos mientras que los permisos de Lake Formation se concedieron al grupo IAMAllowedPrincipals
para el recurso. El usuario debe revocar todos los permisos de Lake Formation de IAMAllowedPrincipals
antes de compartir el recurso.
ConcurrentModificationException sobre las solicitudes de concesión o revocación de cuentas externas
Cuando los usuarios realizan varias solicitudes simultáneas de concesión o revocación de permisos para un director en las políticas de etiqueta LF, Lake Formation arroja un error. ConcurrentModificationException Los usuarios deben captar la excepción y volver a intentar la solicitud de concesión/revocación fallida. El uso de versiones por lotes de las RevokePermissions
API operacionesGrantPermissions
/BatchRevokePermissionsreduce en cierta medida este problema al reducir el número de solicitudes simultáneas de concesión o revocación. BatchGrantPermissions
Error al usar Amazon EMR para acceder a los datos compartidos a través de varias cuentas
Cuando utilizas Amazon EMR para acceder a los datos compartidos contigo desde otra cuenta, algunas bibliotecas de Spark intentarán llamar a la Glue:GetUserDefinedFunctions
API operación. Como las versiones 1 y 2 de los permisos AWS RAM gestionados no admiten esta acción, recibes el siguiente mensaje de error:
"ERROR: User: arn:aws:sts::012345678901:assumed-role/my-spark-role/i-06ab8c2b59299508a is not authorized to perform: glue:GetUserDefinedFunctions on resource: arn:exampleCatalogResource because no resource-based policy allows the glue:GetUserDefinedFunctions action"
Para resolver este error, el administrador del lago de datos que creó el recurso compartido debe actualizar los permisos AWS RAM administrados asociados al recurso compartido. La versión 3 de los permisos administrados de AWS RAM
permite a las entidades principales llevar a cabo la acción glue:GetUserDefinedFunctions
.
Si crea un nuevo recurso compartido, Lake Formation aplica la última versión del permiso AWS RAM gestionado de forma predeterminada y no es necesario que realice ninguna acción. Para habilitar el acceso a los datos entre cuentas para los recursos compartidos existentes, debe actualizar los permisos AWS RAM administrados a la versión 3.
Puede ver los AWS RAM permisos asignados a los recursos compartidos con usted en AWS RAM. Los siguientes permisos se incluyen en la versión 3:
Databases AWSRAMPermissionGlueDatabaseReadWriteForCatalog AWSRAMPermissionGlueDatabaseReadWrite Tables AWSRAMPermissionGlueTableReadWriteForCatalog AWSRAMPermissionGlueTableReadWriteForDatabase AllTables AWSRAMPermissionGlueAllTablesReadWriteForCatalog AWSRAMPermissionGlueAllTablesReadWriteForDatabase
Para actualizar la versión de los permisos AWS RAM administrados de los recursos compartidos existentes
Usted (administrador del lago de datos) puede actualizar los permisos AWS RAM administrados a una versión más reciente siguiendo las instrucciones de la Guía del AWS RAM usuario o puede revocar todos los permisos existentes para el tipo de recurso y volver a concederlos. Si revoca los permisos, AWS RAM elimina el AWS RAM recurso compartido asociado al tipo de recurso. Al volver a conceder los permisos, AWS RAM crea nuevos recursos compartidos adjuntando la última versión de los permisos gestionados. AWS RAM
Solución de problemas de esquemas y flujos de trabajo
Utilice esta información para diagnosticar y solucionar problemas de esquemas y flujos de trabajo.
Temas
- Mi esquema falló y dijo: «El usuario: <user- ARN > no está autorizado a realizar: iam: PassRole on resource:<role- >» ARN
- Mi flujo de trabajo falló y dijo: «El usuario: <user- ARN > no está autorizado a desempeñar: iam: PassRole on resource:<role- >» ARN
- Un rastreador en mi flujo de trabajo falló con "El recurso no existe o el solicitante no está autorizado para acceder a los permisos solicitados"
- Un rastreador de mi flujo de trabajo falló y dijo: «Se produjo un error (AccessDeniedException) al llamar a la operación...» CreateTable
Mi esquema falló y dijo: «El usuario: <user- ARN > no está autorizado a realizar: iam: PassRole on resource:<role- >» ARN
Se ha intentado crear un esquema por parte de un usuario que no tiene permisos suficientes para pasar el rol elegido.
Actualice la IAM política del usuario para poder transferir el rol o pídale al usuario que elija un rol diferente con los permisos de paso necesarios.
Para obtener más información, consulte Referencia de personas y IAM permisos de Lake Formation.
Mi flujo de trabajo falló y dijo: «El usuario: <user- ARN > no está autorizado a desempeñar: iam: PassRole on resource:<role- >» ARN
El rol que especificó para el flujo de trabajo no tenía una política en línea que permitiera que el rol se pasara a sí mismo.
Para obtener más información, consulte (Opcional) Cree un IAM rol para los flujos de trabajo.
Un rastreador en mi flujo de trabajo falló con "El recurso no existe o el solicitante no está autorizado para acceder a los permisos solicitados"
Una posible causa es que el rol pasado no tenía permisos suficientes para crear una tabla en la base de datos de destino. Concede al rol el permiso CREATE_TABLE
sobre la base de datos.
Un rastreador de mi flujo de trabajo falló y dijo: «Se produjo un error (AccessDeniedException) al llamar a la operación...» CreateTable
Una posible causa es que el rol de flujo de trabajo no tuviera permisos de ubicación de datos en el almacén de destino. Conceda permisos de ubicación de datos al rol.
Para obtener más información, consulte DATA_LOCATION_ACCESS.