Risoluzione dei problemi relativi a Lake Formation - AWS Lake Formation
Risoluzione dei problemi generaliRisoluzione dei problemi di accesso tra accountRisoluzione dei problemi relativi a blueprint e flussi di lavoro

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi relativi a Lake Formation

Se riscontri problemi quando lavori con AWS Lake Formation, consulta gli argomenti di questa sezione.

Argomenti

Risoluzione dei problemi generali

Usa le informazioni qui per aiutarti a diagnosticare e risolvere vari problemi di Lake Formation.

Errore: autorizzazioni Lake Formation insufficienti su <Amazon S3 location>

È stato effettuato un tentativo di creare o modificare una risorsa Data Catalog senza autorizzazioni di localizzazione dei dati sulla posizione Amazon S3 indicata dalla risorsa.

Se un database o una tabella Data Catalog punta a una posizione Amazon S3, quando concedi le autorizzazioni a Lake Formation CREATE_TABLE oppure ALTER devi anche concedere l'DATA_LOCATION_ACCESSautorizzazione sulla posizione. Se concedi queste autorizzazioni ad account esterni o a organizzazioni, devi includere l'opzione di concessione.

Dopo aver concesso queste autorizzazioni a un account esterno, l'amministratore del data lake di quell'account deve quindi concedere le autorizzazioni ai principali (utenti o ruoli) dell'account. Quando concedi l'DATA_LOCATION_ACCESSautorizzazione ricevuta da un altro account, devi specificare l'ID di catalogo (ID account) dell'AWS account proprietario. L'account del proprietario è l'account che ha registrato la sede.

Per ulteriori informazioni, consulta Controllo sottostante dell'accesso ai dati e Concessione delle autorizzazioni per la localizzazione dei dati.

Errore: «Autorizzazioni per la chiave di crittografia insufficienti per l'API Glue»

È stato fatto un tentativo di concedere autorizzazioni a Lake Formation senza autorizzazioni AWS Identity and Access Management (IAM) sulla chiave di AWS KMS crittografia per un Data Catalog crittografato.

La mia query Amazon Athena o quella di Amazon Redshift che utilizza i manifesti non riesce

Lake Formation non supporta le query che utilizzano i manifest.

Errore: «Autorizzazioni di Lake Formation insufficienti: è richiesta la creazione di un tag sul catalogo»

L'utente/ruolo deve essere un amministratore del data lake.

Errore durante l'eliminazione di amministratori di data lake non validi

È necessario eliminare contemporaneamente tutti gli amministratori di data lake non validi (ruoli IAM eliminati definiti come amministratori di data lake). Se si tenta di eliminare separatamente gli amministratori di data lake non validi, Lake Formation genera un errore principale non valido.

Risoluzione dei problemi di accesso tra account

Usa le informazioni qui per aiutarti a diagnosticare e risolvere i problemi di accesso su più account.

Ho concesso un'autorizzazione Lake Formation per più account, ma il destinatario non può vedere la risorsa

  • L'utente dell'account del destinatario è un amministratore di Data Lake? Solo gli amministratori del data lake possono vedere la risorsa al momento della condivisione.

  • Stai condividendo con un account esterno alla tua organizzazione utilizzando il metodo della risorsa denominata? In tal caso, l'amministratore del data lake dell'account destinatario deve accettare un invito alla condivisione delle risorse in AWS Resource Access Manager (AWS RAM).

    Per ulteriori informazioni, consulta Accettazione di un invito alla condivisione di risorse da AWS RAM.

  • Stai utilizzando politiche relative alle risorse a livello di account (Data Catalog) in? AWS Glue In caso affermativo, se si utilizza il metodo delle risorse denominate, è necessario includere una dichiarazione speciale nella politica che autorizzi AWS RAM a condividere le politiche per conto dell'utente.

    Per ulteriori informazioni, consulta Gestione delle autorizzazioni tra account utilizzando entrambi AWS Glue e Lake Formation.

  • Disponi delle autorizzazioni AWS Identity and Access Management (IAM) necessarie per concedere l'accesso a più account?

    Per ulteriori informazioni, consulta Prerequisiti.

  • La risorsa a cui hai concesso le autorizzazioni non deve avere alcuna autorizzazione Lake Formation concessa al IAMAllowedPrincipals gruppo.

  • C'è una deny dichiarazione sulla risorsa nella politica a livello di account?

I responsabili dell'account del destinatario possono vedere la risorsa Data Catalog ma non possono accedere ai dati sottostanti

I principali dell'account del destinatario devono disporre delle autorizzazioni richieste AWS Identity and Access Management (IAM). Per informazioni dettagliate, vedi Accesso ai dati sottostanti di una tabella condivisa.

Errore: «Associazione non riuscita perché il chiamante non era autorizzato» quando si accetta un AWS RAM invito alla condivisione delle risorse

Dopo aver concesso l'accesso a una risorsa a un altro account, quando l'account ricevente tenta di accettare l'invito alla condivisione delle risorse, l'azione fallisce. 

$ aws ram get-resource-share-associations --association-type PRINCIPAL --resource-share-arns arn:aws:ram:aws-region:444444444444:resource-share/e1d1f4ba-xxxx-xxxx-xxxx-xxxxxxxx5d8d
{
    "resourceShareAssociations": [
        {
            "resourceShareArn": "arn:aws:ram:aws-region:444444444444:resource-share/e1d1f4ba-xxxx-xxxx-xxxx-xxxxxxxx5d8d
",
            "resourceShareName": "LakeFormation-MMCC0XQBH3Y",
            "associatedEntity": "5815803XXXXX",
            "associationType": "PRINCIPAL",
            "status": "FAILED",
            "statusMessage": "Association failed because the caller was not authorized.",
            "creationTime": "2021-07-12T02:20:10.267000+00:00",
            "lastUpdatedTime": "2021-07-12T02:20:51.830000+00:00",
            "external": true
        }
    ]
}

L'errore si verifica perché glue:PutResourcePolicy viene richiamato da AWS Glue quando l'account ricevente accetta l'invito alla condivisione delle risorse. Per risolvere il problema, consenti l'glue:PutResourcePolicyazione da parte del ruolo assunto utilizzato dall'account produttore/concedente.

Errore: «Non autorizzato a concedere le autorizzazioni per la risorsa»

È stato effettuato un tentativo di concedere autorizzazioni per più account su un database o una tabella di proprietà di un altro account. Quando un database o una tabella vengono condivisi con il tuo account, in qualità di amministratore del data lake, puoi concedere le autorizzazioni solo agli utenti del tuo account.

Errore: «Accesso negato per recuperare le informazioni AWS sull'organizzazione»

Il tuo account è un account di gestione di AWS Organizations e non disponi delle autorizzazioni necessarie per recuperare le informazioni sull'organizzazione, come le unità organizzative nell'account.

Per ulteriori informazioni, consulta Required permissions for cross-account grants.

Errore: «Organizzazione <organization-ID>non trovata»

È stato effettuato un tentativo di condividere una risorsa con un'organizzazione, ma la condivisione con le organizzazioni non è abilitata. Abilita la condivisione delle risorse con le organizzazioni.

Per ulteriori informazioni, consulta Enable Sharing with AWS Organizations nella Guida AWS RAM per l'utente.

Errore: «Autorizzazioni Lake Formation insufficienti: combinazione non valida»

Un utente ha condiviso una risorsa Data Catalog mentre al IAMAllowedPrincipals gruppo venivano concesse le autorizzazioni di Lake Formation per la risorsa. L'utente deve revocare tutte le autorizzazioni di Lake Formation IAMAllowedPrincipals prima di condividere la risorsa.

ConcurrentModificationException sulle richieste di concessione/revoca ad account esterni

Quando gli utenti effettuano più richieste di autorizzazione simultanee di concessione e/o revoca per un principale sulle politiche LF-Tag, Lake Formation lancia. ConcurrentModificationException Gli utenti devono catturare l'eccezione e riprovare la richiesta grant/revoke non riuscita. Utilizza versioni batch delle operazioniGrantPermissions/RevokePermissionsAPI BatchGrantPermissionse BatchRevokePermissionsallevia questo problema in una certa misura riducendo il numero di richieste di concessione/revoca simultanee.

Errore durante l'utilizzo di Amazon EMR per accedere ai dati condivisi tramite più account

Quando utilizzi Amazon EMR per accedere ai dati condivisi con te da un altro account, alcune librerie Spark tenteranno di chiamare l'operazione API Glue:GetUserDefinedFunctions. Poiché le versioni 1 e 2 delle autorizzazioni AWS RAM gestite non supportano questa azione, ricevi il seguente messaggio di errore:

"ERROR: User: arn:aws:sts::012345678901:assumed-role/my-spark-role/i-06ab8c2b59299508a is not authorized to perform: glue:GetUserDefinedFunctions on resource: arn:exampleCatalogResource because no resource-based policy allows the glue:GetUserDefinedFunctions action"

Per risolvere questo errore, l'amministratore del data lake che ha creato la condivisione di risorse deve aggiornare le autorizzazioni AWS RAM gestite allegate alla condivisione di risorse. La versione 3 delle autorizzazioni gestite da AWS RAM consente ai responsabili di eseguire l'operazione glue:GetUserDefinedFunctions.

Se crei una nuova condivisione di risorse, Lake Formation applica la versione più recente dell'autorizzazione AWS RAM gestita per impostazione predefinita e non è richiesta alcuna azione da parte tua. Per abilitare l'accesso ai dati tra account diversi per le condivisioni di risorse esistenti, devi aggiornare le autorizzazioni AWS RAM gestite alla versione 3.

Puoi visualizzare le AWS RAM autorizzazioni assegnate alle risorse condivise con te in. AWS RAM Le autorizzazioni seguenti sono incluse nella versione 3:

Databases
  AWSRAMPermissionGlueDatabaseReadWriteForCatalog 
  AWSRAMPermissionGlueDatabaseReadWrite
    
Tables
  AWSRAMPermissionGlueTableReadWriteForCatalog
  AWSRAMPermissionGlueTableReadWriteForDatabase
    
AllTables
  AWSRAMPermissionGlueAllTablesReadWriteForCatalog
  AWSRAMPermissionGlueAllTablesReadWriteForDatabase
Per aggiornare la versione delle autorizzazioni AWS RAM gestite delle condivisioni di risorse esistenti

L'amministratore del data lake può aggiornare le autorizzazioni AWS RAM gestite a una versione più recente seguendo le istruzioni contenute nella Guida per l'AWS RAM utente oppure revocare tutte le autorizzazioni esistenti per il tipo di risorsa e concederle nuovamente. Se revochi le autorizzazioni, AWS RAM elimina la condivisione di risorse associata al tipo di risorsa. AWS RAM Quando concedi nuovamente le autorizzazioni, AWS RAM crea nuove condivisioni di risorse allegando la versione più recente delle autorizzazioni gestite. AWS RAM

Risoluzione dei problemi relativi a blueprint e flussi di lavoro

Utilizza le informazioni riportate qui per aiutarti a diagnosticare e risolvere i problemi relativi ai blueprint e al flusso di lavoro.

<role-ARN>Il mio progetto non è riuscito con «User: <user-ARN>is not authorized to perform: iam: PassRole on resource:»

È stato effettuato un tentativo di creare un blueprint da parte di un utente che non dispone di autorizzazioni sufficienti per assegnare il ruolo scelto.

Aggiorna la policy IAM dell'utente per poter passare il ruolo o chiedi all'utente di scegliere un ruolo diverso con le autorizzazioni passrole richieste.

Per ulteriori informazioni, consulta Riferimento ai personaggi di Lake Formation e alle autorizzazioni IAM.

Il mio flusso di lavoro non è riuscito con «User: <user-ARN>is not authorized to perform: iam: PassRole on resource:<role-ARN>»

Il ruolo che hai specificato per il flusso di lavoro non aveva una politica in linea che consentisse al ruolo di passare da solo.

Per ulteriori informazioni, consulta (Facoltativo) Crea un ruolo IAM per i flussi di lavoro.

Un crawler del mio flusso di lavoro non è riuscito con il messaggio «La risorsa non esiste o il richiedente non è autorizzato ad accedere alle autorizzazioni richieste»

Una possibile causa è che il ruolo passato non disponeva di autorizzazioni sufficienti per creare una tabella nel database di destinazione. Concedi al ruolo l'CREATE_TABLEautorizzazione per il database.

Un crawler del mio flusso di lavoro non è riuscito e ha restituito «Si è verificato un errore (AccessDeniedException) durante la chiamata dell' CreateTable operazione...»

Una possibile causa è che il ruolo del workflow non disponeva delle autorizzazioni per la localizzazione dei dati sulla posizione di archiviazione di destinazione. Concedi le autorizzazioni per la localizzazione dei dati al ruolo.

Per ulteriori informazioni, consulta DATA_LOCATION_ACCESS.