本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
注册位置时使用的角色的要求
您必须指定Amazon Identity and Access Management注册 Amazon Simple Storage Service (Amazon S3) 位置时的角色。Amazon在访问位置的数据时,Lake Formation 将代入该角色。
您可以使用以下角色类型之一注册位置:
-
Lake Formation 服务相关角色。此角色授予该位置所需的权限。使用此角色是注册位置的最简单方法。有关更多信息,请参阅 对 Lake Formation 使用服务相关角色。
-
用户定义的角色。如果您需要授予超过服务相关角色所提供的权限,则可以使用用户定义的角色。
在下列情况下,您必须使用用户定义的角色:
-
注册受管理表指向的位置时。
有关更多信息,请参阅 管理受监管的表。
-
在另一个账户中注册位置时。
有关更多信息,请参阅 在另一个位置注册 Amazon S3Amazon帐户 和 注册加密 Amazon S3 位置Amazon账户。
-
如果您使用Amazon托管 CMK (
aws/s3) 以加密 Amazon S3 位置。有关更多信息,请参阅 注册加密的 Amazon S3 位置。
-
如果您计划使用亚马逊 EMR 访问该位置。
如果您已经使用服务相关角色注册了一个位置,并希望开始使用 Amazon EMR 访问该位置,则必须注销该位置并使用用户定义的角色重新注册该位置。有关更多信息,请参阅 取消注册 Amazon S3 位置。
-
以下是用户定义角色的要求:
-
创建新角色时,请在创建角色在 IAM 控制台的页面中,选择Amazon服务,然后在选择使用案例,选择Lake Formation.
如果您使用不同的路径创建角色,请确保角色与之建立信任关系
lakeformation.amazonaws.com. 有关更多信息,请参阅 。修改角色信任策略(控制台). -
角色必须与以下实体建立信任关系:
-
glue.amazonaws.com -
lakeformation.amazonaws.com
有关更多信息,请参阅 。修改角色信任策略(控制台).
-
-
角色必须具有内联策略,该策略授予 Amazon S3 对该位置的读/写权限。以下是一项典型策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::awsexamplebucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::awsexamplebucket" ] } ] } -
注册该位置的数据湖管理员必须拥有
iam:PassRole角色的权限。以下是授予此权限的内联策略。Replace
<account-id>拥有有效的Amazon账号,然后替换<role-name>与角色的名称相结合使用。{ "Version": "2012-10-17", "Statement": [ { "Sid": "PassRolePermissions", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<account-id>:role/<role-name>" ] } ] } -
要允许 Lake Formation 在 CloudWatch Logs 中添加日志并发布指标,请添加以下内联策略。
注意 写入 CloudWatch Logs 将产生一定的费用。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Sid1", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*", "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*:log-stream:*" ] } ] }