Exigences relatives aux rôles utilisés pour enregistrer des sites

Vous devez spécifier un rôle AWS Identity and Access Management (IAM) lorsque vous enregistrez un emplacement Amazon Simple Storage Service (Amazon S3). AWS Lake Formation assume ce rôle lors de l'accès aux données à cet emplacement.

Vous pouvez utiliser l'un des types de rôles suivants pour enregistrer un emplacement :

• Le rôle lié au service Lake Formation. Ce rôle accorde les autorisations requises sur l'emplacement. L'utilisation de ce rôle est le moyen le plus simple d'enregistrer l'emplacement. Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour Lake Formation.

• Rôle défini par l'utilisateur. Utilisez un rôle défini par l'utilisateur lorsque vous devez accorder plus d'autorisations que le rôle lié à un service n'en fournit.

  Vous devez utiliser un rôle défini par l'utilisateur dans les cas suivants :

  • Lors de l'enregistrement d'une position dans un autre compte.

    Pour plus d’informations, consultez Enregistrement d'un emplacement Amazon S3 sur un autre AWS compte et Enregistrement d'un emplacement Amazon S3 chiffré sur plusieurs AWS comptes.

  • Si vous avez utilisé un AWS managed CMK (aws/s3) pour chiffrer l'emplacement Amazon S3.

    Pour de plus amples informations, veuillez consulter Enregistrement d'un emplacement Amazon S3 chiffré.

  • Si vous prévoyez d'accéder à l'emplacement via AmazonEMR.

    Si vous avez déjà enregistré un point de vente avec le rôle lié au service et que vous souhaitez commencer à y accéder auprès d'AmazonEMR, vous devez annuler l'enregistrement du point de vente et le réenregistrer avec un rôle défini par l'utilisateur. Pour de plus amples informations, veuillez consulter Annulation de l'enregistrement d'un site Amazon S3.

Les conditions requises pour un rôle défini par l'utilisateur sont les suivantes :

• Lors de la création du nouveau rôle, sur la page Créer un rôle de la IAM console, sélectionnez AWS service, puis sous Choisir un cas d'utilisation, choisissez Lake Formation.

  Si vous créez le rôle en utilisant un chemin différent, assurez-vous que le rôle entretient une relation de confiance aveclakeformation.amazonaws.com. Pour plus d'informations, voir Modification d'une politique d'approbation des rôles (console).

• Le rôle doit entretenir des relations de confiance avec les entités suivantes :

  • glue.amazonaws.com

  • lakeformation.amazonaws.com

  Pour plus d'informations, voir Modification d'une politique d'approbation des rôles (console).

• Le rôle doit avoir une politique intégrée qui accorde des autorisations de lecture/écriture à Amazon S3 sur le site. Voici une politique typique.

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "s3:PutObject",
                  "s3:GetObject",
                  "s3:DeleteObject"
              ],
              "Resource": [
                  "arn:aws:s3:::awsexamplebucket/*"
              ]
          },
          {
              "Effect": "Allow",
              "Action": [
                  "s3:ListBucket"
              ],
              "Resource": [
                  "arn:aws:s3:::awsexamplebucket"
              ]
          }
      ]
  }

• Ajoutez la politique de confiance suivante au IAM rôle pour permettre au service Lake Formation d'assumer le rôle et de vendre des informations d'identification temporaires aux moteurs d'analyse intégrés.

  Pour inclure le contexte utilisateur d'IAMIdentity Center dans les CloudTrail journaux, la politique de confiance doit autoriser l'sts:SetContextaction. « ensembles : SetContext »

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "DataCatalogViewDefinerAssumeRole1",
              "Effect": "Allow",
              "Principal": {
                 "Service": [
                      "glue.amazonaws.com",
                      "lakeformation.amazonaws.com"
                   ]
              },
              "Action": [
                  "sts:AssumeRole",
                  "sts:SetContext"
              ]
          }
      ]
  }    

• L'administrateur du lac de données qui enregistre l'emplacement doit disposer de l'iam:PassRoleautorisation associée au rôle.

  Voici une politique intégrée qui accorde cette autorisation. Remplacez <account-id> avec un numéro de AWS compte valide, et remplacez <role-name> avec le nom du rôle.

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "PassRolePermissions",
              "Effect": "Allow",
              "Action": [
                  "iam:PassRole"
              ],
              "Resource": [
                  "arn:aws:iam::<account-id>:role/<role-name>"
              ]
          }
      ]
  }

• Pour permettre à Lake Formation d'ajouter des journaux dans CloudWatch les journaux et de publier des métriques, ajoutez la politique en ligne suivante.

  Note

  L'écriture dans CloudWatch Logs entraîne des frais.

  
  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "Sid1",
              "Effect": "Allow",
              "Action": [
                  "logs:CreateLogStream",
                  "logs:CreateLogGroup",
                  "logs:PutLogEvents"
              ],
              "Resource": [
                   "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*",
                   "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*:log-stream:*"
              ]
          }
      ]
  }