本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对 Lake Formation 使用服务相关角色
Amazon Lake Formation使用Amazon Identity and Access Management(IAM)服务相关角色. 服务相关角色是一种独特类型的 IAM 角色,它与 Lake Formation 直接相关。服务相关角色由 Lake Formation 预定义,并具有该服务调用其他服务所需的一切权限。Amazon服务代表您。
通过使用服务相关角色,您可以更轻松地设置 Lake Formation,因为您不必创建角色和手动添加所需的权限。Lake Formation 定义其服务相关角色的权限,除非另外定义,否则,仅 Lake Formation 可以担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
此服务相关角色信任以下服务代入该角色:
-
lakeformation.amazonaws.com
Lake Formation 的服务相关角色权限
Lake Formation 使用名为的服务相关角色AWSServiceRoleForLakeFormationDataAccess
. 此角色提供一组 Amazon Simple Storage Service (Amazon S3) 权限,这些权限可启用 Lake Formation 集成服务(例如)。Amazon Athena访问注册的位置。注册数据湖位置时,您必须提供一个角色,该角色在该位置具有所需的 Amazon S3 读/写权限。您可以使用此服务相关角色,而不是创建具有所需 Amazon S3 权限的角色。
首次将服务相关角色命名为注册路径的角色时,将代表您创建服务相关角色和新的 IAM 策略。Lake Formation 为内联策略添加了路径,并将其附加到服务相关角色。当您使用服务相关角色注册后续路径时,Lake Formation 会将路径添加到现有策略中。
以数据湖管理员身份登录时,请注册数据湖位置。然后,在 IAM 控制台中搜索角色AWSServiceRoleForLakeFormationDataAccess
然后查看其附加的政策。
例如,在注册该位置之后s3://my-kinesis-test/logs
,Lake Formation 创建以下内联策略并将其附加到AWSServiceRoleForLakeFormationDataAccess
.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LakeFormationDataAccessPermissionsForS3", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::my-kinesis-test/logs/*" ] }, { "Sid": "LakeFormationDataAccessPermissionsForS3ListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::my-kinesis-test" ] } ] }
要使用此服务相关角色注册位置,需要以下权限:
-
iam:CreateServiceLinkedRole
-
iam:PutRolePolicy
数据湖管理员通常具有这些权限。