Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅中国的 Amazon Web Services 服务入门。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

对 Lake Formation 使用服务相关角色

Amazon Lake Formation使用Amazon Identity and Access Management(IAM)服务相关角色. 服务相关角色是一种独特类型的 IAM 角色，它与 Lake Formation 直接相关。服务相关角色由 Lake Formation 预定义，并具有该服务调用其他服务所需的一切权限。Amazon服务代表您。

通过使用服务相关角色，您可以更轻松地设置 Lake Formation，因为您不必创建角色和手动添加所需的权限。Lake Formation 定义其服务相关角色的权限，除非另外定义，否则，仅 Lake Formation 可以担任其角色。定义的权限包括信任策略和权限策略，以及不能附加到任何其他 IAM 实体的权限策略。

此服务相关角色信任以下服务代入该角色：

Lake Formation 的服务相关角色权限

Lake Formation 使用名为的服务相关角色AWSServiceRoleForLakeFormationDataAccess. 此角色提供一组 Amazon Simple Storage Service (Amazon S3) 权限，这些权限可启用 Lake Formation 集成服务（例如）。Amazon Athena访问注册的位置。注册数据湖位置时，您必须提供一个角色，该角色在该位置具有所需的 Amazon S3 读/写权限。您可以使用此服务相关角色，而不是创建具有所需 Amazon S3 权限的角色。

首次将服务相关角色命名为注册路径的角色时，将代表您创建服务相关角色和新的 IAM 策略。Lake Formation 为内联策略添加了路径，并将其附加到服务相关角色。当您使用服务相关角色注册后续路径时，Lake Formation 会将路径添加到现有策略中。

以数据湖管理员身份登录时，请注册数据湖位置。然后，在 IAM 控制台中搜索角色AWSServiceRoleForLakeFormationDataAccess然后查看其附加的政策。

例如，在注册该位置之后s3://my-kinesis-test/logs，Lake Formation 创建以下内联策略并将其附加到AWSServiceRoleForLakeFormationDataAccess.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::my-kinesis-test/logs/*"
            ]
        },
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::my-kinesis-test"
            ]
        }
    ]
}

要使用此服务相关角色注册位置，需要以下权限：

数据湖管理员通常具有这些权限。