对 Lake Formation 使用服务相关角色 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对 Lake Formation 使用服务相关角色

Amazon Lake Formation使用Amazon Identity and Access Management(IAM)服务相关角色. 服务相关角色是一种独特类型的 IAM 角色,它与 Lake Formation 直接相关。服务相关角色由 Lake Formation 预定义,并具有该服务调用其他服务所需的一切权限。Amazon服务代表您。

通过使用服务相关角色,您可以更轻松地设置 Lake Formation,因为您不必创建角色和手动添加所需的权限。Lake Formation 定义其服务相关角色的权限,除非另外定义,否则,仅 Lake Formation 可以担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。

此服务相关角色信任以下服务代入该角色:

  • lakeformation.amazonaws.com

Lake Formation 的服务相关角色权限

Lake Formation 使用名为的服务相关角色AWSServiceRoleForLakeFormationDataAccess. 此角色提供一组 Amazon Simple Storage Service (Amazon S3) 权限,这些权限可启用 Lake Formation 集成服务(例如)。Amazon Athena访问注册的位置。注册数据湖位置时,您必须提供一个角色,该角色在该位置具有所需的 Amazon S3 读/写权限。您可以使用此服务相关角色,而不是创建具有所需 Amazon S3 权限的角色。

首次将服务相关角色命名为注册路径的角色时,将代表您创建服务相关角色和新的 IAM 策略。Lake Formation 为内联策略添加了路径,并将其附加到服务相关角色。当您使用服务相关角色注册后续路径时,Lake Formation 会将路径添加到现有策略中。

以数据湖管理员身份登录时,请注册数据湖位置。然后,在 IAM 控制台中搜索角色AWSServiceRoleForLakeFormationDataAccess然后查看其附加的政策。

例如,在注册该位置之后s3://my-kinesis-test/logs,Lake Formation 创建以下内联策略并将其附加到AWSServiceRoleForLakeFormationDataAccess.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "LakeFormationDataAccessPermissionsForS3", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::my-kinesis-test/logs/*" ] }, { "Sid": "LakeFormationDataAccessPermissionsForS3ListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::my-kinesis-test" ] } ] }

要使用此服务相关角色注册位置,需要以下权限:

  • iam:CreateServiceLinkedRole

  • iam:PutRolePolicy

数据湖管理员通常具有这些权限。