注册位置时使用的角色的要求 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

注册位置时使用的角色的要求

您必须指定Amazon Identity and Access Management注册 Amazon Simple Storage Service (Amazon S3) 位置时的角色。Amazon在访问位置的数据时,Lake Formation 将代入该角色。

您可以使用以下角色类型之一注册位置:

  • Lake Formation 服务相关角色。此角色授予该位置所需的权限。使用此角色是注册位置的最简单方法。有关更多信息,请参阅 对 Lake Formation 使用服务相关角色

  • 用户定义的角色。如果您需要授予超过服务相关角色所提供的权限,则可以使用用户定义的角色。

    在下列情况下,您必须使用用户定义的角色:

以下是用户定义角色的要求:

  • 创建新角色时,请在创建角色在 IAM 控制台的页面中,选择Amazon服务,然后在选择使用案例,选择Lake Formation.

    如果您使用不同的路径创建角色,请确保角色与之建立信任关系lakeformation.amazonaws.com. 有关更多信息,请参阅 。修改角色信任策略(控制台).

  • 角色必须与以下实体建立信任关系:

    • glue.amazonaws.com

    • lakeformation.amazonaws.com

    有关更多信息,请参阅 。修改角色信任策略(控制台).

  • 角色必须具有内联策略,该策略授予 Amazon S3 对该位置的读/写权限。以下是一项典型策略。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::awsexamplebucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::awsexamplebucket" ] } ] }
  • 注册该位置的数据湖管理员必须拥有iam:PassRole角色的权限。

    以下是授予此权限的内联策略。Replace<account-id>拥有有效的Amazon账号,然后替换<role-name>与角色的名称相结合使用。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "PassRolePermissions", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<account-id>:role/<role-name>" ] } ] }
  • 要允许 Lake Formation 在 CloudWatch Logs 中添加日志并发布指标,请添加以下内联策略。

    注意

    写入 CloudWatch Logs 将产生一定的费用。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Sid1", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*", "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*:log-stream:*" ] } ] }