Solución de problemas de Lake Formation - AWS Lake Formation
Solución de problemas generalesSolución de problemas de acceso entre cuentasSolución de problemas de esquemas y flujos de trabajo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solución de problemas de Lake Formation

Si tiene problemas al trabajar con AWS Lake Formation, consulte los temas de esta sección.

Temas

Solución de problemas generales

Utilice esta información para diagnosticar y solucionar diversos problemas de Lake Formation.

Error: permisos insuficientes para Lake Formation en <ubicación de Amazon S3>.

Se ha intentado crear o modificar un recurso del Catálogo de datos sin permisos de ubicación de datos en la ubicación de Amazon S3 a la que apunta el recurso.

Si una base de datos o tabla del Catálogo de datos apunta a una ubicación de Amazon S3, cuando conceda los permisos Lake Formation CREATE_TABLE o ALTER, también deberá conceder el permiso DATA_LOCATION_ACCESS en la ubicación. Si concede estos permisos a cuentas externas o a organizaciones, debe incluir la opción de concesión.

Una vez concedidos estos permisos a una cuenta externa, el administrador del lago de datos de dicha cuenta deberá conceder los permisos a las entidades principales (usuarios o roles) de la cuenta. Al conceder el DATA_LOCATION_ACCESS permiso recibido de otra cuenta, debe especificar el identificador de catálogo (identificador de AWS cuenta) de la cuenta del propietario. La cuenta propietaria es la cuenta que registró la ubicación.

Para obtener más información, consulte Control de acceso a los datos subyacentes y Conceder permisos de ubicación de datos.

Error: "Permisos de clave de cifrado insuficientes para la API Glue"

Se intentó conceder permisos a Lake Formation sin permisos AWS Identity and Access Management (IAM) en la clave de AWS KMS cifrado de un catálogo de datos cifrado.

Mi consulta Amazon Athena o la de Amazon Redshift que usa manifiestos está fallando

Lake Formation no es compatible con las consultas que utilizan manifiestos.

Error: "Permiso(s) de Lake Formation insuficientes: se requiere crear etiqueta en el catálogo"

El usuario o rol debe ser administrador del lago de datos.

Error al eliminar administradores de lagos de datos no válidos

Debe eliminar todos los administradores de lagos de datos no válidos (funciones de IAM eliminadas que se definen como administradores de lagos de datos) simultáneamente. Si intenta eliminar administradores de lagos de datos no válidos por separado, Lake Formation da un error de entidad principal no válida.

Solución de problemas de acceso entre cuentas

Utilice esta información para diagnosticar y solucionar los problemas de acceso entre cuentas.

He concedido un permiso entre cuentas Lake Formation pero el destinatario no puede ver el recurso

  • ¿Es el usuario de la cuenta de destinatario administrador del lago de datos? Solo los administradores del lago de datos pueden ver el recurso en el momento del uso compartido.

  • ¿Está compartiendo con una cuenta externa a su organización utilizando el método de recursos con nombre? Si es así, el administrador del lago de datos de la cuenta del destinatario debe aceptar una invitación para compartir recursos en AWS Resource Access Manager (AWS RAM).

    Para obtener más información, consulte Aceptar una invitación para compartir recursos de AWS RAM.

  • ¿Está utilizando políticas de recursos a nivel de cuenta (Catálogo de datos) en AWS Glue? En caso afirmativo, si utiliza el método de recursos con nombre, deberá incluir una instrucción especial en la política que autorice a AWS RAM a compartir políticas en su nombre.

    Para obtener más información, consulte Administración de los permisos entre cuentas mediante AWS Glue y Lake Formation.

  • ¿Tiene los permisos AWS Identity and Access Management (de IAM) necesarios para conceder el acceso entre cuentas?

    Para obtener más información, consulte Requisitos previos.

  • El recurso sobre el que ha concedido permisos no debe tener ningún permiso de Lake Formation concedido al grupo IAMAllowedPrincipals.

  • ¿Existe alguna instrucción deny sobre el recurso en la política a nivel de cuenta?

Las entidades principales de la cuenta de destinatario pueden ver el recurso del Catálogo de datos pero no pueden acceder a los datos subyacentes

Los directores de la cuenta del destinatario deben tener los permisos AWS Identity and Access Management (IAM) necesarios. Para obtener más detalles, consulte Acceso a los datos subyacentes de una tabla compartida.

Error: «La asociación falló porque la persona que llamó no estaba autorizada» al aceptar una AWS RAM invitación para compartir recursos

Tras conceder acceso a un recurso a una cuenta diferente, cuando la cuenta receptora intenta aceptar la invitación a compartir el recurso, la acción falla. 

$ aws ram get-resource-share-associations --association-type PRINCIPAL --resource-share-arns arn:aws:ram:aws-region:444444444444:resource-share/e1d1f4ba-xxxx-xxxx-xxxx-xxxxxxxx5d8d
{
    "resourceShareAssociations": [
        {
            "resourceShareArn": "arn:aws:ram:aws-region:444444444444:resource-share/e1d1f4ba-xxxx-xxxx-xxxx-xxxxxxxx5d8d
",
            "resourceShareName": "LakeFormation-MMCC0XQBH3Y",
            "associatedEntity": "5815803XXXXX",
            "associationType": "PRINCIPAL",
            "status": "FAILED",
            "statusMessage": "Association failed because the caller was not authorized.",
            "creationTime": "2021-07-12T02:20:10.267000+00:00",
            "lastUpdatedTime": "2021-07-12T02:20:51.830000+00:00",
            "external": true
        }
    ]
}

El error se produce porque el glue:PutResourcePolicy es invocado por AWS Glue cuando la cuenta receptora acepta la invitación a compartir recursos. Para resolver el problema, permita la acción glue:PutResourcePolicy mediante el rol asumido utilizado por la cuenta del productor/concedente.

Error: “No está autorizado a conceder permisos para el recurso”

Se ha intentado conceder permisos entre cuentas en una base de datos o tabla que es propiedad de otra cuenta. Cuando una base de datos o una tabla se comparte con su cuenta, como administrador del lago de datos, puede conceder permisos sobre ella solo a los usuarios de su cuenta.

Error: «Acceso denegado para recuperar la información de AWS la organización»

Tu cuenta es una AWS cuenta de administración de Organizations y no tienes los permisos necesarios para recuperar la información de la organización, como las unidades organizativas de la cuenta.

Para obtener más información, consulte Required permissions for cross-account grants.

Error: "Organización <organization-ID> no encontrada"

Se ha intentado compartir un recurso con una organización, pero el uso compartido con organizaciones no está habilitado. Habilite el uso compartido de recursos con organizaciones.

Para obtener más información, consulte Habilitar el uso compartido con AWS Organizaciones en la Guía del AWS RAM usuario.

Error: "Permisos de Lake Formation insuficientes: combinación ilegal"

Un usuario compartió un recurso del Catálogo de datos mientras que los permisos de Lake Formation se concedieron al grupo IAMAllowedPrincipals para el recurso. El usuario debe revocar todos los permisos de Lake Formation de IAMAllowedPrincipals antes de compartir el recurso.

ConcurrentModificationException sobre las solicitudes de concesión o revocación de cuentas externas

Cuando los usuarios realizan varias solicitudes simultáneas de concesión o revocación de permisos para un director en las políticas de etiqueta LF, Lake Formation arroja un error. ConcurrentModificationException Los usuarios deben captar la excepción y volver a intentar la solicitud de concesión/revocación fallida. Utiliza versiones por lotes de las operaciones de la RevokePermissions APIGrantPermissions/BatchGrantPermissionsy BatchRevokePermissionsalivia este problema en cierta medida al reducir el número de solicitudes simultáneas de concesión o revocación.

Error al utilizar Amazon EMR para acceder a datos compartidos entre cuentas

Al usar Amazon EMR para acceder a los datos compartidos desde otra cuenta, algunas bibliotecas de Spark intentarán llamar a la operación de la API Glue:GetUserDefinedFunctions. Como las versiones 1 y 2 de los permisos AWS RAM administrados no admiten esta acción, recibirá el siguiente mensaje de error:

"ERROR: User: arn:aws:sts::012345678901:assumed-role/my-spark-role/i-06ab8c2b59299508a is not authorized to perform: glue:GetUserDefinedFunctions on resource: arn:exampleCatalogResource because no resource-based policy allows the glue:GetUserDefinedFunctions action"

Para resolver este error, el administrador del lago de datos que creó el recurso compartido debe actualizar los permisos AWS RAM administrados asociados al recurso compartido. La versión 3 de los permisos administrados de AWS RAM permite a las entidades principales llevar a cabo la acción glue:GetUserDefinedFunctions.

Si crea un nuevo recurso compartido, Lake Formation aplica la última versión del permiso AWS RAM gestionado de forma predeterminada y no es necesario que realice ninguna acción. Para habilitar el acceso a los datos entre cuentas para los recursos compartidos existentes, debe actualizar los permisos AWS RAM administrados a la versión 3.

Puede ver los AWS RAM permisos asignados a los recursos compartidos con usted en AWS RAM. Los siguientes permisos se incluyen en la versión 3:

Databases
  AWSRAMPermissionGlueDatabaseReadWriteForCatalog 
  AWSRAMPermissionGlueDatabaseReadWrite
    
Tables
  AWSRAMPermissionGlueTableReadWriteForCatalog
  AWSRAMPermissionGlueTableReadWriteForDatabase
    
AllTables
  AWSRAMPermissionGlueAllTablesReadWriteForCatalog
  AWSRAMPermissionGlueAllTablesReadWriteForDatabase
Para actualizar la versión de los permisos AWS RAM administrados de los recursos compartidos existentes

Usted (administrador del lago de datos) puede actualizar los permisos AWS RAM administrados a una versión más reciente siguiendo las instrucciones de la Guía del AWS RAM usuario o puede revocar todos los permisos existentes para el tipo de recurso y volver a concederlos. Si revoca los permisos, AWS RAM elimina el AWS RAM recurso compartido asociado al tipo de recurso. Al volver a conceder los permisos, AWS RAM crea nuevos recursos compartidos adjuntando la última versión de los permisos gestionados. AWS RAM

Solución de problemas de esquemas y flujos de trabajo

Utilice esta información para diagnosticar y solucionar problemas de esquemas y flujos de trabajo.

<role-ARN>Mi blueprint falló con el mensaje «Usuario: <user-ARN>no está autorizado para realizar: iam: PassRole on resource:»

Se ha intentado crear un esquema por parte de un usuario que no tiene permisos suficientes para pasar el rol elegido.

Actualice la política de IAM del usuario para poder pasar el rol, o pídale que elija un rol diferente con los permisos necesarios para pasar el rol.

Para obtener más información, consulte Personas de Lake Formation y referencia de permisos IAM.

<role-ARN>Mi flujo de trabajo falló con el mensaje «Usuario: <user-ARN>no está autorizado a realizar: iam: PassRole on resource:»

El rol que especificó para el flujo de trabajo no tenía una política en línea que permitiera que el rol se pasara a sí mismo.

Para obtener más información, consulte (Opcional) Cree una función de IAM para los flujos de trabajo.

Un rastreador en mi flujo de trabajo falló con "El recurso no existe o el solicitante no está autorizado para acceder a los permisos solicitados"

Una posible causa es que el rol pasado no tenía permisos suficientes para crear una tabla en la base de datos de destino. Concede al rol el permiso CREATE_TABLE sobre la base de datos.

Un rastreador de mi flujo de trabajo falló y dijo: «Se produjo un error (AccessDeniedException) al llamar a la CreateTable operación...»

Una posible causa es que el rol de flujo de trabajo no tuviera permisos de ubicación de datos en el almacén de destino. Conceda permisos de ubicación de datos al rol.

Para obtener más información, consulte DATA_LOCATION_ACCESS.