호수 형성 문제 해결

작업할 때 문제가 발생하는 경우AWS호수 형성에 대해서는 이 섹션의 주제를 참조하십시오.

주제

• 일반 문제 해결
• 교차 계정 액세스 문제 해결
• 블루프린트 및 워크플로우 문제 해결
• AWS Lake Formation의 알려진 문제
• 업데이트된 오류 메시지

일반 문제 해결

여기에 있는 정보를 사용하여 다양한 호수 형성 문제를 진단하고 해결하십시오.

오류: 에 대한 레이크 포메이션 권한이 충분하지 않습니다. <Amazon S3 location>

리소스가 가리키는 Amazon S3 위치에 대한 데이터 위치 권한 없이 데이터 카탈로그 리소스를 만들거나 변경하려고 했습니다.

데이터 카탈로그 데이터베이스 또는 테이블이 Amazon S3 위치를 가리키는 경우, Lake Formation 권한을 부여할 때CREATE_TABLE또는ALTER, 또한 다음을 부여해야 합니다.DATA_LOCATION_ACCESS위치에 대한 허가. 외부 계정이나 조직에 이러한 권한을 부여하는 경우 부여 옵션을 포함해야 합니다.

이러한 권한이 외부 계정에 부여되면 해당 계정의 데이터 레이크 관리자가 해당 계정의 보안 주체 (사용자 또는 역할) 에게 권한을 부여해야 합니다. 권한을 부여하는 경우DATA_LOCATION_ACCESS다른 계정에서 받은 권한의 경우 카탈로그 ID를 지정해야 합니다 (AWS소유자 계정의 계정 ID) 소유자 계정은 위치를 등록한 계정입니다.

자세한 내용은 기본 데이터 액세스 제어 및 데이터 위치 권한 부여 단원을 참조하세요.

오류: “Glue API에 대한 암호화 키 권한이 충분하지 않습니다.”

레이크 포메이션 권한을 부여하려는 시도가 있었습니다.AWS Identity and Access Management에 대한 (IAM) 권한AWS KMS암호화된 데이터 카탈로그의 암호화 키입니다.

나의Amazon Athena또는 매니페스트를 사용하는 Amazon Redshift 쿼리가 실패했습니다.

레이크 포메이션은 매니페스트를 사용하는 쿼리를 지원하지 않습니다.

오류: “레이크 포메이션 권한이 충분하지 않음: 카탈로그에 태그를 생성해야 합니다.”

사용자/역할은 데이터 레이크 관리자여야 합니다.

교차 계정 액세스 문제 해결

여기에 있는 정보를 사용하면 교차 계정 액세스 문제를 진단하고 해결하는 데 도움이 됩니다.

교차 계정 Lake Formation 권한을 부여했지만 수신자가 리소스를 볼 수 없습니다

• 수신자 계정의 사용자가 데이터 레이크 관리자입니까? 데이터 레이크 관리자만 공유 시 리소스를 볼 수 있습니다.

• 지정된 리소스 메서드를 사용하여 조직 외부의 계정과 공유하고 계신가요? 그렇다면 수신자 계정의 데이터 레이크 관리자가 에서 리소스 공유 초대를 수락해야 합니다.AWS Resource Access Manager(AWS RAM).

  자세한 정보는 에서 리소스 공유 초대를 수락합니다.AWS RAM을 참조하세요.

• 에서 계정 수준 (데이터 카탈로그) 리소스 정책을 사용하고 있습니까?AWS Glue? 그렇다면 이름이 지정된 리소스 메서드를 사용하는 경우 권한을 부여하는 특수 설명을 정책에 포함해야 합니다.AWS RAM귀하를 대신하여 정책을 공유할 수 있습니다.

  자세한 정보는 Lake AWS Glue Formation과 Lake Formation을 모두 사용하여 계정 간 권한 관리을 참조하세요.

• 가지고 계신가요?AWS Identity and Access Management교차 계정 액세스를 허용하려면 (IAM) 권한이 필요합니까?

  자세한 정보는 필수 조건을 참조하세요.

• 권한을 부여한 리소스에는 Lake Formation 권한이 부여되지 않아야 합니다.IAMAllowedPrincipals그룹.

• 있나요deny계정 수준 정책의 리소스에 대한 설명?

수신자 계정의 보안 주체는 데이터 카탈로그 리소스를 볼 수 있지만 기초 데이터에는 액세스할 수 없습니다.

수신자 계정의 보안 주체에게는 필수 정보가 있어야 합니다.AWS Identity and Access Management(IAM) 권한. 자세한 내용은 공유 테이블의 기본 데이터에 액세스을 참조하세요.

오류: 수락 시 “발신자가 인증되지 않아 연결에 실패했습니다.”AWS RAM리소스 공유 초대

리소스에 대한 액세스 권한을 다른 계정에 부여한 후 받는 계정이 리소스 공유 초대를 수락하려고 하면 작업이 실패합니다.

$ aws ram get-resource-share-associations --association-type PRINCIPAL --resource-share-arns arn:aws:ram:aws-region:444444444444:resource-share/e1d1f4ba-xxxx-xxxx-xxxx-xxxxxxxx5d8d
{
    "resourceShareAssociations": [
        {
            "resourceShareArn": "arn:aws:ram:aws-region:444444444444:resource-share/e1d1f4ba-xxxx-xxxx-xxxx-xxxxxxxx5d8d
",
            "resourceShareName": "LakeFormation-MMCC0XQBH3Y",
            "associatedEntity": "5815803XXXXX",
            "associationType": "PRINCIPAL",
            "status": "FAILED",
            "statusMessage": "Association failed because the caller was not authorized.",
            "creationTime": "2021-07-12T02:20:10.267000+00:00",
            "lastUpdatedTime": "2021-07-12T02:20:51.830000+00:00",
            "external": true
        }
    ]
}

이 오류는 다음과 같은 이유로 발생합니다.glue:PutResourcePolicy에 의해 호출됩니다.AWS Glue수신 계정이 리소스 공유 초대를 수락할 때 문제를 해결하려면 다음을 허용하십시오.glue:PutResourcePolicy생산자/부여자 계정에서 사용하는 위임된 역할에 의한 조치.

오류: “리소스에 대한 권한을 부여할 권한이 없습니다.”

다른 계정이 소유한 데이터베이스 또는 테이블에 대한 교차 계정 권한을 부여하려고 했습니다. 데이터베이스나 테이블을 계정과 공유할 때 데이터 레이크 관리자는 계정 내 사용자에게만 해당 데이터베이스 또는 테이블에 대한 권한을 부여할 수 있습니다.

오류: “액세스가 거부되었습니다.AWS조직 정보”

귀하의 계정은AWS조직 관리 계정이며 계정의 조직 단위와 같은 조직 정보를 검색하는 데 필요한 권한이 없습니다.

자세한 정보는 Required permissions for cross-account grants을 참조하세요.

오류: “조직을 <organization-ID>찾을 수 없음”

조직과 리소스를 공유하려고 했지만 조직과의 공유가 활성화되지 않았습니다. 조직과의 리소스 공유를 활성화합니다.

자세한 내용은 을 참조하십시오.공유 대상 활성화AWS조직에서AWS RAM사용자 가이드.

오류: “불충분한 호수 형성 권한: 잘못된 조합”

Lake Formation 권한이 부여된 상태에서 사용자가 데이터 카탈로그 리소스를 공유했습니다.IAMAllowedPrincipals리소스 그룹. 사용자는 다음 주소에서 모든 레이크 포메이션 권한을 취소해야 합니다.IAMAllowedPrincipals리소스를 공유하기 전에

ConcurrentModificationException외부 계정에 대한 권한 부여/취소 요청 시

사용자가 LF-Tag 정책에서 주체에 대한 권한 부여 및/또는 권한 취소를 동시에 여러 번 요청하면 Lake Formation이 중단됩니다.ConcurrentModificationException. 사용자는 예외를 포착하고 실패한 부여/취소 요청을 다시 시도해야 합니다. 의 배치 버전 사용GrantPermissions/RevokePermissionsAPI 오퍼레이션 -BatchGrantPermissions과BatchRevokePermissions동시 부여/취소 요청 수를 줄임으로써 이 문제를 어느 정도 완화합니다.

Amazon EMR을 사용하여 교차 계정을 통해 공유된 데이터에 액세스할 때 오류가 발생했습니다.

Amazon EMR을 사용하여 다른 계정에서 공유된 데이터에 액세스하면 일부 Spark 라이브러리가 호출을 시도합니다.Glue:GetUserDefinedFunctionsAPI 오퍼레이션. 버전 1과 2부터AWS RAM관리형 권한은 이 작업을 지원하지 않습니다. 다음과 같은 오류 메시지가 표시됩니다.

"ERROR: User: arn:aws:sts::012345678901:assumed-role/my-spark-role/i-06ab8c2b59299508a is not authorized to perform: glue:GetUserDefinedFunctions on resource: arn:exampleCatalogResource because no resource-based policy allows the glue:GetUserDefinedFunctions action"

이 오류를 해결하려면 리소스 공유를 생성한 데이터 레이크 관리자가 다음을 업데이트해야 합니다.AWS RAM리소스 공유에 연결된 관리형 권한 버전 3AWS RAM관리형 권한을 통해 보안 주체는 다음 작업을 수행할 수 있습니다.glue:GetUserDefinedFunctions동작.

새 리소스 공유를 생성하면 Lake Formation은 최신 버전의 리소스 공유를 적용합니다.AWS RAM관리 권한은 기본적으로 제공되며 별도의 조치가 필요하지 않습니다. 기존 리소스 공유에 대한 교차 계정 데이터 액세스를 활성화하려면 다음을 업데이트해야 합니다.AWS RAM버전 3에 대한 권한 관리

다음을 볼 수 있습니다.AWS RAM에서 사용자와 공유된 리소스에 할당된 권한AWS RAM. 버전 3에는 다음과 같은 권한이 포함되어 있습니다.

Databases
  AWSRAMPermissionGlueDatabaseReadWriteForCatalog 
  AWSRAMPermissionGlueDatabaseReadWrite
    
Tables
  AWSRAMPermissionGlueTableReadWriteForCatalog
  AWSRAMPermissionGlueTableReadWriteForDatabase
    
AllTables
  AWSRAMPermissionGlueAllTablesReadWriteForCatalog
  AWSRAMPermissionGlueAllTablesReadWriteForDatabase
   

업데이트하려면AWS RAM기존 리소스 공유의 관리형 권한 버전

귀하 (데이터 레이크 관리자) 는 다음 중 하나를 할 수 있습니다.업데이트AWS RAM최신 버전에 대한 권한 관리다음 지침에 따라AWS RAM사용자 가이드또는 리소스 유형에 대한 기존 권한을 모두 취소하고 다시 부여할 수 있습니다. 권한을 취소하는 경우AWS RAM를 삭제합니다AWS RAM리소스 유형과 관련된 리소스 공유 권한을 다시 부여하면AWS RAM최신 버전을 첨부하여 새 리소스 공유를 생성합니다.AWS RAM관리형 권한.

블루프린트 및 워크플로우 문제 해결

여기에 있는 정보를 사용하여 청사진 및 워크플로 문제를 진단하고 해결하세요.

주제

• 내 블루프린트가 실패했습니다. “사용자: <user-ARN>수행할 권한이 없습니다: iam:PassRole리소스 없음:<role-ARN>”
• 내 <user-ARN>워크플로가 “사용자: 수행할 권한이 없음: iam:”이라는 메시지가 표시되면서 실패했습니다.PassRole리소스 없음:<role-ARN>”
• 워크플로의 크롤러가 “리소스가 없거나 요청자가 요청된 권한에 액세스할 권한이 없습니다.” 라는 오류가 발생하여 실패했습니다.
• 워크플로의 크롤러가 “오류 발생 (”) 과 함께 실패했습니다.AccessDeniedException) 에 전화할 때CreateTable수술...”

내 블루프린트가 실패했습니다. “사용자: <user-ARN>수행할 권한이 없습니다: iam:PassRole리소스 없음:<role-ARN>”

선택한 역할을 전달할 수 있는 충분한 권한이 없는 사용자가 블루프린트를 만들려고 했습니다.

역할을 전달할 수 있도록 사용자의 IAM 정책을 업데이트하거나 사용자에게 필수 passrole 권한이 있는 다른 역할을 선택하도록 요청하십시오.

자세한 정보는 Lake Formation 페르소나 및 IAM 권한 레퍼런스을 참조하세요.

내 <user-ARN>워크플로가 “사용자: 수행할 권한이 없음: iam:”이라는 메시지가 표시되면서 실패했습니다.PassRole리소스 없음:<role-ARN>”

워크플로에 지정한 역할에는 역할이 자동으로 전달되도록 허용하는 인라인 정책이 없었습니다.

자세한 정보는 워크플로를 위한 IAM 역할 생성을 참조하세요.

워크플로의 크롤러가 “리소스가 없거나 요청자가 요청된 권한에 액세스할 권한이 없습니다.” 라는 오류가 발생하여 실패했습니다.

한 가지 가능한 원인은 전달된 역할에 대상 데이터베이스에 테이블을 만들 수 있는 충분한 권한이 없었기 때문입니다. 역할 부여CREATE_TABLE데이터베이스에 대한 권한.

워크플로의 크롤러가 “오류 발생 (”) 과 함께 실패했습니다.AccessDeniedException) 에 전화할 때CreateTable수술...”

한 가지 가능한 원인은 워크플로 역할에 대상 스토리지 위치에 대한 데이터 위치 권한이 없었기 때문입니다. 역할에 데이터 위치 권한을 부여합니다.

자세한 정보는 DATA_LOCATION_ACCESS을 참조하세요.