用于注册位置的角色的要求 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用于注册位置的角色的要求

注册亚马逊简单存储服务 Amazon Identity and Access Management (Amazon S3) 位置时,必须指定 (IAM) 角色。 Amazon Lake Formation 在访问该位置的数据时担任该角色。

您可以使用以下角色类型之一来注册位置:

以下是用户定义的角色的要求:

  • 创建新角色时,在 IAM 控制台的创建角色页面上,选择 Amazon 服务,然后在选择一个使用案例下选择 Lake Formation

    如果使用其他路径创建角色,请确保该角色与 lakeformation.amazonaws.com 具有信任关系。有关更多信息,请参阅修改角色信任策略(控制台)

  • 该角色必须具有授予 Amazon S3 对该位置的读/写权限的内联策略。以下是典型的策略。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::awsexamplebucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::awsexamplebucket" ] } ] }
  • 将以下信任策略添加到 IAM 角色,以便 Lake Formation 服务代入该角色并将临时凭证提供给集成的分析引擎。

    要在 CloudTrail 日志中包含 IAM Identity Center 用户上下文,信任策略必须具有该sts:SetContext操作的权限。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "DataCatalogViewDefinerAssumeRole1", "Effect": "Allow", "Principal": { "Service": [ "lakeformation.amazonaws.com" ] }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] }
  • 注册该位置的数据湖管理员必须具有对该角色的 iam:PassRole 权限。

    以下是授予此权限的内联策略。<account-id>替换为有效的 Amazon 账号,然后<role-name>替换为角色的名称。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "PassRolePermissions", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<account-id>:role/<role-name>" ] } ] }
  • 要允许 Lake Formati CloudWatch on 在日志中添加日志并发布指标,请添加以下内联策略。

    注意

    写入 CloudWatch 日志会产生费用。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Sid1", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*", "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*:log-stream:*" ] } ] }