用于注册位置的角色的要求 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用于注册位置的角色的要求

您必须指定Amazon Identity and Access Management(IAM) 角色注册 Amazon Simple Storage Service (Amazon S3) 位置。Amazon在访问该位置上的数据时,Lake Formation 成将代入此角色。

注册位置的最简单方法是使用 Lake Formation 成服务链接的角色。此角色授予对该位置所需的权限。但是,您可能需要使用用用户定义角色来注册位置。

重要

如果您计划使用 Amazon EMR 访问该位置,则必须使用用户定义的角色而不是 Lake Formation 服务链接角色来注册该位置。如果您已使用与服务相关的角色注册了某个位置,并且现在希望开始使用 Amazon EMR 访问该位置,则必须取消注册该位置并使用用户定义的角色重新注册该位置。有关更多信息,请参阅 取消注册 Amazon S3 位置

以下是用户定义角色的要求:

  • 在 IAM 控制台上创建新角色时,在创建角色页面上,选择Amazon服务,然后在选择使用案例中,选择Glue.

  • 角色必须与以下实体建立信任关系:

    • glue.amazonaws.com

    • lakeformation.amazonaws.com

    有关更多信息,请参阅 。修改角色信任策略(控制台).

  • 角色必须具有内联策略,该策略可授予 Amazon S3 对该位置的读/写权限。以下是一个典型策略。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::awsexamplebucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::awsexamplebucket"
            ]
        }
    ]
}

  • 注册该位置的数据湖管理员必须具有iam:PassRole权限。

    以下是授予此权限的内联策略。Replace<account-id>具有有效的Amazon帐户号码,然后替换<role-name>替换为角色的名称。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/<role-name>"
            ]
        }
    ]
}

有关 Lake Formation 成服务相关角色的更多信息,请参阅使用服务相关角色进行 Lake Formation.