用于注册地点的角色要求 - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用于注册地点的角色要求

必须指定 AWS Identity and Access Management (人IAM)角色 Amazon Simple Storage Service (人Amazon S3)位置。 AWS Lake Formation 假定在访问该位置的数据时该角色。

注册地点的最简单方法是使用 Lake Formation 服务链接角色。此角色在位置授予所需权限。但是,您可能需要使用用户定义的角色来注册位置。

重要

如果您计划使用 Amazon EMR,您必须使用用户定义的角色,而不是 Lake Formation 服务链接角色以注册位置。如果您已使用服务链接角色注册了一个位置,并且现在想要开始访问该位置 Amazon EMR,您必须取消注册该位置,并使用用户定义的角色重新注册。有关更多信息,请参阅注销 Amazon S3 位置

以下是对用户定义的角色的要求:

  • 在创建新角色时,在 IAM 控制台,位于 创建角色 页面,选择 AWS服务,然后低于 选择用例,选择 胶水.

  • 该角色必须与以下实体有信任关系:

    • glue.amazonaws.com

    • lakeformation.amazonaws.com

    有关更多信息,请参阅 修改角色信任政策(控制台).

  • 该职位必须拥有授予 Amazon S3 位置的读取/写入权限。以下是典型的政策。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::awsexamplebucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::awsexamplebucket" ] } ] }
  • 注册地点的数据湖管理员必须具有 iam:PassRole 角色的权限。

    以下是授予此权限的内联策略。Replace <account-id> 有效 AWS 账号,替换 <role-name> 角色的名称。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "PassRolePermissions", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<account-id>:role/<role-name>" ] } ] }

有关 Lake Formation 服务相关角色的更多信息,请参阅对 Lake Formation 使用服务相关角色