本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
注册 Amazon S3 在另一个AWS帐户中的位置
AWS Lake Formation 使您可以注册 Amazon Simple Storage Service (人Amazon S3)个地点 AWS 帐户。例如,如果 AWS Glue 数据目录 在账户A中,账户A中的用户可以注册 Amazon S3 bucket在帐户B中。
注册 Amazon S3 桶装 AWS 帐户B,使用 AWS Identity and Access Management (人IAM)角色 AWS 帐户A需要以下权限:
-
帐户A中的角色必须授予帐户B中bucket的权限。
-
帐户B中的bucket策略必须授予帐户A中角色的访问权限。
您不能使用 Lake Formation 服务链接角色,以在另一个帐户中注册位置。您必须使用自定义角色。角色必须符合 用于注册地点的角色要求. 有关服务相关角色的更多信息,请参阅适用于 Lake Formation 的服务相关角色权限。
要在另一个AWS帐户中注册位置
如果位置已加密,请按照 注册加密 Amazon S3 AWS帐户之间的位置 而不是。
以下过程假设账户中的负责人 1111-2222-3333,其中包含 Data Catalog,想要注册 Amazon S3 桶 awsexamplebucket1,它在帐户中 1234-5678-9012.
-
入户 1111-2222-3333,登录 AWS 管理控制台 并打开 IAM 控制台位于 https://console.aws.amazon.com/iam/
. -
创建新角色或查看符合 用于注册地点的角色要求. 确保角色授予 Amazon S3 权限
awsexamplebucket1. -
访问 https://console.amazonaws.cn/s3/
,打开 Amazon S3 控制台。使用帐户登录 1234-5678-9012. -
在 存储桶名称 列表中,选择存储桶名称,
awsexamplebucket1. -
选择 Permissions。
-
在 权限 页面,选择 存储桶策略.
-
在 存储桶策略编辑器,粘贴以下策略。Replace
<role-name>使用您的角色名称。{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Principal": { "AWS":"arn:aws:iam::111122223333:role/<role-name>" }, "Action":"s3:ListBucket", "Resource":"arn:aws:s3:::awsexamplebucket1" }, { "Effect":"Allow", "Principal": { "AWS":"arn:aws:iam::111122223333:role/<role-name>" }, "Action": [ "s3:DeleteObject", "s3:GetObject", "s3:PutObject" ], "Resource":"arn:aws:s3:::awsexamplebucket1/*" } ] } -
选择 Save (保存)。
-
访问 https://console.amazonaws.cn/lakeformation/
,打开 AWS Lake Formation 控制台。登录帐户 1111-2222-3333 作为数据湖管理员或具有足够权限注册位置的用户。 -
在导航窗格中,位于 注册并拷贝,选择 数据湖位置.
-
选择 注册位置.
-
在 注册位置页面,对于 AmazonS3路径,输入存储桶名称
s3://awsexamplebucket1.注意 您必须键入存储桶名称,因为在选择 浏览.
-
对于 IAM角色,请选择您的角色。
-
选择 注册位置.