对亚马逊 AWS Lake Formation 权限进行故障排除 DataZone

本节包含您在遇到时可能遇到的问题的疑难解答说明为亚马逊配置 Lake Formation 权限 DataZone。

数据门户中的错误消息	解决方案
无法担任数据访问角色。	当 Amazon DataZone 无法假设您在账户DefaultDataLakeBlueprint中启用时使用的 AmazonDataZoneGlueDataAccessRole，则会显示此错误。要解决此问题，请访问您的数据资产所在账户中的 AWS IAM 控制台，并确保与 Amazon DataZone 服务委托人AmazonDataZoneGlueDataAccessRole有正确的信任关系。有关更多信息，请参阅 AmazonDataZoneGlueAccess-<region>-<domainId>。
数据访问角色没有必要的权限来读取您尝试订阅的资产的元数据。	当 Amazon DataZone 成功担任该AmazonDataZoneGlueDataAccessRole角色但该角色没有必要的权限时，就会显示此错误。要修复此问题，请转到您的数据资产所在账户中的 AWS IAM 控制台，并确保该角色已AmazonDataZoneGlueManageAccessRolePolicy附加该数据。有关更多信息，请参阅 AmazonDataZoneGlueAccess-<region>-<domainId>。
资产是一种资源链接。Amazon DataZone 不支持订阅资源链接。	当您尝试发布到亚马逊的资产是指向 AWS Gl DataZone ue 表的资源链接时，就会显示此错误。
资产不由 La AWS ke Formation 管理。	此错误表示未对您要发布的资产强制执行 AWS Lake Formation 权限。在以下情况下可能会发生这种情况。 该资产的亚马逊 S3 位置未在 La AWS ke Formation 中注册。要解决此问题，请使用表格所在的账户登录您的 L AWS ake Formation 控制台，然后在 L AWS ake Formation 模式或混合模式下注册 Amazon S3 位置。有关更多信息，请参阅 Registering an Amazon S3 location（注册 Amazon S3 位置）。有几种情况需要进一步修改。其中包括加密的 AmazonS3 存储桶或跨账户 S3 存储桶和 Glue 目录设置 AWS 。在这种情况下，可能需要修改 KMS 和/或 S3 设置。有关更多信息，请参阅 Registering an encrypted Amazon S3 location。 Amazon S3 位置已在 AWS Lake Format AllowedPrincipal ion 模式下注册，但是 IAM 已添加到表的权限中。要解决此问题，您可以AllowedPrincipal从表的权限中移除 IAM，也可以在混合模式下注册 S3 位置。有关更多信息，请参阅关于升级到 Lake Formation 权限模型。如果您的 S3 位置已加密，或者 S3 位置与您的 AWS Glue 表位于不同的账户中，请按照注册加密的 Amazon S3 营业地点中的说明进行操作。
数据访问角色没有必要的 Lake Formation 权限来授予对该资产的访问权限。	此错误AmazonDataZoneGlueDataAccessRole表明，您用于在账户DefaultDataLakeBlueprint中启用的，不具备亚马逊 DataZone 管理已发布资产权限的必要权限。您可以通过添加AmazonDataZoneGlueDataAccessRole作为 AWS Lake Formati AmazonDataZoneGlueDataAccessRoleon 管理员或向要发布的资产授予以下权限来解决问题。 描述和描述对资产所在数据库的可授予权限 描述、选择、描述可授予权限、选择对数据库中所有资产的可授予权限，这些资产是您希望 Ama DataZone zon 代表您管理的访问权限。