本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在另一个位置注册 Amazon S3Amazon帐户
Amazon Lake Formation使您能够注册 Amazon Simple Storage Service (Amazon S3)Amazon账户。例如,如果Amazon Glue Data Catalog在账户 A 中,账户 A 中的用户可以在账户 B 中注册 Amazon S3 存储桶
在中注册 Amazon S3 存储桶Amazon账户 B 使用Amazon Identity and Access Management(IAM) 角色Amazon账户 A 需要以下权限:
-
账户 A 中的角色必须授予对账户 B 中存储桶的权限。
-
账户 B 中的存储桶策略必须向账户 A 中的角色授予访问权限。
避免注册具有 Amazon S3 存储桶申请方付款已启用. 对于在 Lake Formation 中注册的存储桶,用于注册存储桶的角色始终被视为请求者。如果存储桶被另一个人访问Amazon账户,如果该角色与存储桶拥有者属于同一账户,则该存储桶拥有者需要支付数据访问费用。
您不能使用 Lake Formation 服务相关角色在另一个账户中注册位置。而必须使用用户定义的角色。该角色必须满足中的要求注册位置时使用的角色的要求. 有关 service-linked role 服务相关角色的更多信息,请参阅Lake Formation 的服务相关角色权限。
开始前的准备工作
查看用于注册位置的角色的要求.
在另一个地点注册Amazon帐户
如果该位置已加密,请按照中的说明操作注册加密 Amazon S3 位置Amazon账户相反。
以下过程假定账户 1111-2222-3333(包含数据目录)中的委托人想注册 Amazon S3 存储桶awsexamplebucket1在账户 1234-5678-9012 中。
-
在账户 1111-2222-3333 中,登录Amazon Web Services Management Console在以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/
. -
创建新角色或查看符合中要求的现有角色注册位置时使用的角色的要求. 确保该角色向 Amazon S3 授予以下权限:
awsexamplebucket1. -
通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/
。使用账户 1234-5678-9012 登录。 -
在Bucket name列表中,选择存储桶名称
awsexamplebucket1. -
选择权限。
-
在存储库的Permissions (权限)在页面上,选择存储桶策略.
-
在存储桶策略编辑,粘贴以下策略。Replace
<role-name>以你的角色的名称。{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Principal": { "AWS":"arn:aws:iam::111122223333:role/<role-name>" }, "Action":"s3:ListBucket", "Resource":"arn:aws:s3:::awsexamplebucket1" }, { "Effect":"Allow", "Principal": { "AWS":"arn:aws:iam::111122223333:role/<role-name>" }, "Action": [ "s3:DeleteObject", "s3:GetObject", "s3:PutObject" ], "Resource":"arn:aws:s3:::awsexamplebucket1/*" } ] } -
选择保存。
-
打开Amazon Lake Formation控制台https://console.aws.amazon.com/lakeformation/
. 以数据湖管理员或具有足够权限注册位置的用户身份登录帐户 1111-2222-3333。 -
在导航窗格中的下注册并提取,选择数据湖位置.
-
选择注册位置.
-
在存储库的注册位置页,对于Amazon S3 路径中,输入存储桶名称
s3://awsexamplebucket1.注意 您必须键入存储桶名称,因为当您选择时跨账户存储桶不会显示在列表中浏览.
-
适用于IAM 角色选择你的角色。
-
选择注册位置.