Lake Formation 问题排查 - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Lake Formation 问题排查

如果您在使用 AWS Lake Formation 时遇到问题,请查询本部分中的相关主题。

一般故障排除

使用此处的信息帮助您诊断和修复各种 Lake Formation 问题。

错误: "GaleAPI的加密密钥权限不足"

尝试授予 Lake Formation 权限,无 AWS Identity and Access Management (人IAM)权限 AWS KMS 用于加密的加密密钥 Data Catalog.

我的 Amazon Athena 或 Amazon Redshift 使用清单的查询失败

Lake Formation 不支持使用清单的查询。

跨账户访问故障排除

使用此处的信息可帮助您诊断和修复跨帐户访问问题。

我授予了跨帐户的“湖景形成”权限,但接收人看不到资源

  • 接收方账户中的用户是否为数据湖管理员? 只有数据湖管理员可以在共享时查看资源。

  • 您是否正在与贵组织外部的客户共享? 如果是,接收方帐户的数据湖管理员必须接受 AWS Resource Access Manager (人AWS RAM)。

    有关更多信息,请参阅接受来自的资源共享邀请 AWS RAM

  • 您是否使用帐户级别(Data Catalog中的资源策略 AWS Glue? 如果是,则您必须包含授权 AWS RAM 以代表您共享政策。

    有关更多信息,请参阅使用两者管理跨客户权限 AWS Glue 和 Lake Formation

  • 您是否有 AWS Identity and Access Management (人IAM)授予跨帐户访问权限所需的权限?

    有关更多信息,请参阅跨账户访问先决条件

  • 您授予权限的资源不能有任何 Lake Formation 授予 IAMAllowedPrincipals 组。

  • 是否有 deny 账户级政策中对资源的声明?

错误: “无权授予资源权限”

尝试授予另一个帐户拥有的数据库或表的跨帐户权限。当与您的帐户共享数据库或表时,作为数据湖管理员,您只能授予帐户中的用户对其的权限。

错误: "访问被拒绝,无法检索AWS组织信息"

您的帐户是 AWS 组织 管理账户 并且您没有检索组织信息所需的权限,例如帐户中的组织单位。

有关更多信息,请参阅Required permissions for cross-account grants

错误: "未找到组织<organization-ID>"

尝试与组织共享资源,但未启用与组织共享。启用与组织的资源共享。

有关更多信息,请参阅 启用与AWS组织共享AWS RAM 用户指南.

错误: “湖泊形成权限不足: 非法组合”

用户共享了 Data Catalog 资源, Lake Formation 权限已授予 IAMAllowedPrincipals 组。用户必须撤消所有 Lake Formation 权限来自 IAMAllowedPrincipals 共享资源之前。

排除蓝图和工作流故障

使用此处的信息可帮助您诊断和修复蓝图和工作流问题。

我的蓝图失败,“用户:<user-ARN>无权执行:iam:PassRoleonresource:<role-ARN>”

尝试由没有足够权限通过所选角色的用户创建蓝图。

更新用户 IAM 策略,以便能够传递角色,或要求用户选择具有所需密码权限的其他角色。

有关更多信息,请参阅Lake Formation 人物和 IAM 权限参考

我的工作流程失败,“用户:<user-ARN>无权执行:iam:PassRoleonresource:<role-ARN>”

您为工作流指定的角色没有允许该角色自行传递的内联策略。

有关更多信息,请参阅创建 IAM 工作流的角色

我的工作流程中的爬网程序失败,其“资源不存在或请求者无权访问所请求的权限”

一个可能的原因是传递的角色没有在目标数据库中创建表的足够权限。授予角色 CREATE_TABLE 数据库的权限。

Acrawlerinmyworkflowfailedwith"Anerroroccurred(AccessDeniedException)whencallingthe CreateTable 操作...”

一个可能的原因是工作流角色在目标存储位置上没有数据位置权限。将数据位置权限授予角色。

有关更多信息,请参阅DATA_LOCATION_ACCESS