Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Hinzufügen eines Amazon S3 S3-Standorts zu Ihrem Data Lake
Um einen Datenstandort als Speicher in Ihrem Data Lake hinzuzufügen, *registrieren* Sie den Standort (**Data Lake-Standort**) bei AWS Lake Formation. Anschließend können Sie Lake Formation Formation-Berechtigungen für eine detaillierte Zugriffskontrolle auf AWS Glue Data Catalog Objekte verwenden, die auf diese Position und auf die zugrunde liegenden Daten in der Position verweisen.
Lake Formation ermöglicht auch die Registrierung eines Datenstandorts im Hybridzugriffsmodus und bietet Ihnen die Flexibilität, Lake Formation Formation-Berechtigungen für Datenbanken und Tabellen in Ihrem Datenkatalog selektiv zu aktivieren. Im Hybridzugriffsmodus verfügen Sie über einen inkrementellen Pfad, mit dem Sie Lake Formation Formation-Berechtigungen für eine bestimmte Gruppe von Benutzern festlegen können, ohne die Berechtigungsrichtlinien anderer vorhandener Benutzer oder Workloads zu unterbrechen.
Weitere Informationen zur Einrichtung des hybriden Zugriffsmodus finden Sie unter [Hybrider Zugriffsmodus](hybrid-access-mode.md)
Wenn Sie einen Standort registrieren, werden dieser Amazon S3 S3-Pfad und alle Ordner unter diesem Pfad registriert.
Nehmen wir zum Beispiel an, Sie haben eine Amazon S3 S3-Pfadorganisation wie die folgende:
`/mybucket/accounting/sales/`
Wenn Sie sich registrieren`S3://mybucket/accounting`, ist der `sales` Ordner ebenfalls registriert und wird von Lake Formation verwaltet.
Weitere Informationen zur Registrierung von Standorten finden Sie unter[Underlying data access control](access-control-underlying-data.md#underlying-data-access-control).
**Anmerkung**
Lake Formation Formation-Berechtigungen werden für strukturierte Daten (angeordnet in Tabellen mit Zeilen und Spalten) empfohlen. Wenn Ihre Daten objektbasierte unstrukturierte Daten enthalten, sollten Sie erwägen, Amazon S3-Zugriffsberechtigungen zur Verwaltung des Datenzugriffs zu verwenden.
**Topics**
+ [Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden](registration-role.md)
+ [Registrierung eines Amazon S3 S3-Standorts](register-location.md)
+ [Registrierung eines verschlüsselten Amazon S3 S3-Standorts](register-encrypted.md)
+ [Registrierung eines Amazon S3 S3-Standorts in einem anderen AWS Konto](register-cross-account.md)
+ [AWS Kontoübergreifende Registrierung eines verschlüsselten Amazon S3 S3-Standorts](register-cross-encrypted.md)
+ [Abmeldung eines Amazon S3 S3-Standorts](unregister-location.md)
# Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden
Sie müssen eine AWS Identity and Access Management (IAM) -Rolle angeben, wenn Sie einen Amazon Simple Storage Service (Amazon S3) -Standort registrieren. AWS Lake Formation nimmt diese Rolle beim Zugriff auf die Daten an diesem Standort an.
Sie können einen der folgenden Rollentypen verwenden, um einen Standort zu registrieren:
+ Die dienstleistungsbezogene Rolle von Lake Formation. Diese Rolle gewährt die erforderlichen Berechtigungen für den Standort. Die Verwendung dieser Rolle ist die einfachste Methode, den Standort zu registrieren. Weitere Informationen erhalten Sie unter [Verwenden von serviceverknüpften Rollen für Lake Formation](service-linked-roles.md) und [Einschränkungen für dienstbezogene Rollen](service-linked-role-limitations.md).
+ Eine benutzerdefinierte Rolle. Verwenden Sie eine benutzerdefinierte Rolle, wenn Sie mehr Berechtigungen gewähren müssen, als die dienstverknüpfte Rolle bietet.
In den folgenden Fällen müssen Sie eine benutzerdefinierte Rolle verwenden:
+ Bei der Registrierung eines Standorts in einem anderen Konto.
Weitere Informationen erhalten Sie unter [Registrierung eines Amazon S3 S3-Standorts in einem anderen AWS Konto](register-cross-account.md) und [AWS Kontoübergreifende Registrierung eines verschlüsselten Amazon S3 S3-Standorts](register-cross-encrypted.md).
+ Wenn Sie ein AWS verwaltetes CMK (`aws/s3`) verwendet haben, um den Amazon S3 S3-Standort zu verschlüsseln.
Weitere Informationen finden Sie unter [Registrierung eines verschlüsselten Amazon S3 S3-Standorts](register-encrypted.md).
+ Wenn Sie mit Amazon EMR auf den Standort zugreifen möchten.
Wenn Sie bereits einen Standort mit der serviceverknüpften Rolle registriert haben und mit Amazon EMR auf den Standort zugreifen möchten, müssen Sie den Standort abmelden und ihn mit einer benutzerdefinierten Rolle erneut registrieren. Weitere Informationen finden Sie unter [Abmeldung eines Amazon S3 S3-Standorts](unregister-location.md).
# Verwenden von serviceverknüpften Rollen für Lake Formation
AWS Lake Formation verwendet eine *dienstbezogene AWS Identity and Access Management (IAM-*) Rolle. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Lake Formation verknüpft ist. Die dienstverknüpfte Rolle ist von Lake Formation vordefiniert und umfasst alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Lake Formation, da Sie keine Rolle erstellen und die erforderlichen Berechtigungen manuell hinzufügen müssen. Lake Formation definiert die Berechtigungen seiner dienstbezogenen Rolle, und sofern nicht anders definiert, kann nur Lake Formation seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Diese dienstbezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `lakeformation.amazonaws.com`
Wenn Sie eine serviceverknüpfte Rolle in Konto A verwenden, um einen Amazon S3 S3-Standort zu registrieren, der Konto B gehört, muss die Amazon S3 S3-Bucket-Richtlinie (eine ressourcenbasierte Richtlinie) in Konto B Zugriffsberechtigungen für die serviceverknüpfte Rolle in Konto A gewähren.
Informationen zur Verwendung einer serviceverknüpften Rolle zur Registrierung eines Datenstandorts finden Sie unter. [Einschränkungen für dienstbezogene Rollen](service-linked-role-limitations.md)
**Anmerkung**
Richtlinien zur Dienststeuerung (SCPs) wirken sich nicht auf dienstverknüpfte Rollen aus.
Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Servicesteuerung (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html).
## Dienstbezogene Rollenberechtigungen für Lake Formation
Lake Formation verwendet die angegebene dienstbezogene Rolle. `AWSServiceRoleForLakeFormationDataAccess` Diese Rolle bietet eine Reihe von Amazon Simple Storage Service (Amazon S3) -Berechtigungen, die es dem integrierten Service von Lake Formation (z. B. Amazon Athena) ermöglichen, auf registrierte Standorte zuzugreifen. Wenn Sie einen Data Lake-Standort registrieren, müssen Sie eine Rolle angeben, die über die erforderlichen Amazon S3 read/write S3-Berechtigungen für diesen Standort verfügt. Anstatt eine Rolle mit den erforderlichen Amazon S3 S3-Berechtigungen zu erstellen, können Sie diese serviceverknüpfte Rolle verwenden.
Wenn Sie die serviceverknüpfte Rolle zum ersten Mal als Rolle angeben, mit der ein Pfad registriert werden soll, werden die serviceverknüpfte Rolle und eine neue IAM-Richtlinie in Ihrem Namen erstellt. Lake Formation fügt den Pfad zur Inline-Richtlinie hinzu und fügt ihn der dienstbezogenen Rolle hinzu. Wenn Sie nachfolgende Pfade mit der serviceverknüpften Rolle registrieren, fügt Lake Formation den Pfad der vorhandenen Richtlinie hinzu.
Registrieren Sie einen Data Lake-Standort, während Sie als Data Lake-Administrator angemeldet sind. Suchen Sie dann in der IAM-Konsole nach der Rolle `AWSServiceRoleForLakeFormationDataAccess` und sehen Sie sich die zugehörigen Richtlinien an.
Nachdem Sie den Standort registriert haben`s3://my-kinesis-test/logs`, erstellt Lake Formation beispielsweise die folgende Inline-Richtlinie und hängt sie an an. `AWSServiceRoleForLakeFormationDataAccess`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::my-kinesis-test/logs/*"
]
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my-kinesis-test"
]
}
]
}
```
------
## Schaffung einer dienstbezogenen Rolle für Lake Formation
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie einen Amazon S3 S3-Standort bei Lake Formation in der AWS-Managementkonsole, der AWS CLI oder der AWS API registrieren, erstellt Lake Formation die serviceverknüpfte Rolle für Sie.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Weitere Informationen finden Sie unter [In meinem IAM-Konto wird eine neue Rolle angezeigt](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie einen Amazon S3 S3-Standort bei Lake Formation registrieren, erstellt Lake Formation die serviceverknüpfte Rolle erneut für Sie.
Sie können die IAM-Konsole auch verwenden, um eine serviceverknüpfte Rolle mit dem **Lake Formation Formation-Anwendungsfall** zu erstellen. Erstellen Sie in der AWS CLI oder der AWS API eine dienstverknüpfte Rolle mit dem `lakeformation.amazonaws.com` Dienstnamen. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
## Bearbeiten einer serviceverknüpften Rolle für Lake Formation
In Lake Formation können Sie die `AWSServiceRoleForLakeFormationDataAccess` serviceverknüpfte Rolle nicht bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für Lake Formation
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der Lake Formation Formation-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um Lake Formation-Ressourcen zu löschen, die von der Lake Formation verwendet werden**
+ Wenn Sie die serviceverknüpfte Rolle verwendet haben, um Amazon S3 S3-Standorte bei Lake Formation zu registrieren, müssen Sie vor dem Löschen der serviceverknüpften Rolle den Standort abmelden und ihn mit einer benutzerdefinierten Rolle erneut registrieren.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die API, um die serviceverknüpfte AWS CLI Rolle zu löschen. AWS `AWSServiceRoleForLakeFormationDataAccess` Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.
Im Folgenden sind die Anforderungen für eine benutzerdefinierte Rolle aufgeführt:
+ Wählen Sie beim Erstellen der neuen Rolle auf der Seite **Rolle erstellen** der IAM-Konsole **AWS Service** und dann unter **Anwendungsfall auswählen** die Option **Lake Formation** aus.
Wenn Sie die Rolle unter Verwendung eines anderen Pfads erstellen, stellen Sie sicher, dass für die Rolle eine Vertrauensstellung besteht. `lakeformation.amazonaws.com` Weitere Informationen finden Sie unter [Ändern einer Vertrauensrichtlinie für Rollen (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).
+ Die Rolle muss über eine Inline-Richtlinie verfügen, die Amazon S3 read/write S3-Berechtigungen für den Standort gewährt. Im Folgenden finden Sie eine typische Richtlinie.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::awsexamplebucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::awsexamplebucket"
]
}
]
}
```
------
+ Fügen Sie der IAM-Rolle die folgende Vertrauensrichtlinie hinzu, damit der Lake Formation Formation-Dienst die Rolle übernehmen und temporäre Anmeldeinformationen an die integrierten Analyse-Engines weitergeben kann.
Um den IAM Identity Center-Benutzerkontext in die CloudTrail Protokolle aufzunehmen, muss die Vertrauensrichtlinie über die entsprechende Berechtigung für die Aktion verfügen. `sts:SetContext`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DataCatalogViewDefinerAssumeRole1",
"Effect": "Allow",
"Principal": {
"Service": [
"lakeformation.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
+ Der Data Lake-Administrator, der den Standort registriert, muss über die entsprechenden `iam:PassRole` Berechtigungen für die Rolle verfügen.
Im Folgenden finden Sie eine Inline-Richtlinie, die diese Berechtigung gewährt. **Ersetzen Sie es durch eine gültige AWS Kontonummer und ** ersetzen Sie es durch den Namen der Rolle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PassRolePermissions",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/"
]
}
]
}
```
------
+ Damit Lake Formation Logs zu Logs hinzufügen und Metriken veröffentlichen kann, fügen Sie die folgende Inline-Richtlinie hinzu. CloudWatch
**Anmerkung**
Das Schreiben in CloudWatch Logs ist kostenpflichtig.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Sid1",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:/aws-lakeformation-acceleration/*",
"arn:aws:logs:us-east-1:111122223333:log-group:/aws-lakeformation-acceleration/*:log-stream:*"
]
}
]
}
```
------
# Registrierung eines Amazon S3 S3-Standorts
Sie müssen eine AWS Identity and Access Management (IAM) -Rolle angeben, wenn Sie einen Amazon Simple Storage Service (Amazon S3) -Standort registrieren. Lake Formation übernimmt diese Rolle, wenn es integrierten AWS Diensten, die auf die Daten an diesem Standort zugreifen, temporäre Anmeldeinformationen gewährt.
**Wichtig**
Vermeiden Sie es, einen Amazon S3 S3-Bucket zu registrieren, für den Zahlungen durch den **Antragsteller aktiviert** ist. Bei Buckets, die bei Lake Formation registriert sind, wird die Rolle, mit der der Bucket registriert wurde, immer als der Anforderer angesehen. Wenn ein anderes AWS Konto auf den Bucket zugreift, wird dem Bucket-Besitzer der Datenzugriff in Rechnung gestellt, sofern die Rolle zu demselben Konto gehört wie der Bucket-Besitzer.
Sie können die AWS Lake Formation Konsole, die Lake Formation API oder AWS Command Line Interface (AWS CLI) verwenden, um einen Amazon S3 S3-Standort zu registrieren.
**Bevor Sie beginnen**
Überprüfen Sie die [Anforderungen für die Rolle, die zur Registrierung des Standorts verwendet](registration-role.md) wurde.
**Um einen Standort zu registrieren (Konsole)**
**Wichtig**
Bei den folgenden Verfahren wird davon ausgegangen, dass sich der Amazon S3 S3-Standort in demselben AWS Konto wie der Datenkatalog befindet und dass die Daten am Standort nicht verschlüsselt sind. Andere Abschnitte in diesem Kapitel behandeln die kontoübergreifende Registrierung und die Registrierung verschlüsselter Standorte.
1. Öffnen Sie die AWS Lake Formation Konsole unter. [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) Melden Sie sich als Data Lake-Administrator oder als Benutzer mit der `lakeformation:RegisterResource` IAM-Berechtigung an.
1. Wählen Sie im Navigationsbereich unter **Verwaltung** die Option **Data Lake-Standorte** aus.
1. Wählen Sie **Speicherort registrieren** und anschließend **Durchsuchen**, um einen Amazon Simple Storage Service (Amazon S3) -Pfad auszuwählen.
1. (Optional, aber dringend empfohlen) Wählen Sie **Standortberechtigungen überprüfen** aus, um eine Liste aller vorhandenen Ressourcen am ausgewählten Amazon S3 S3-Standort und deren Berechtigungen anzuzeigen.
Die Registrierung des ausgewählten Standorts kann dazu führen, dass Ihre Lake Formation Formation-Benutzer Zugriff auf Daten erhalten, die sich bereits an diesem Standort befinden. Durch das Anzeigen dieser Liste können Sie sicherstellen, dass die vorhandenen Daten sicher bleiben.
1. Wählen Sie für die **IAM-Rolle** entweder die `AWSServiceRoleForLakeFormationDataAccess` serviceverknüpfte Rolle (Standard) oder eine benutzerdefinierte IAM-Rolle, die die Anforderungen in erfüllt. [Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden](registration-role.md)
Sie können einen registrierten Standort oder andere Details nur aktualisieren, wenn Sie ihn mit einer benutzerdefinierten IAM-Rolle registrieren. Um einen Standort zu bearbeiten, der mit einer serviceverknüpften Rolle registriert wurde, sollten Sie den Standort abmelden und ihn erneut registrieren.
1. Wählen Sie die Option **Datenkatalogverbund aktivieren**, damit Lake Formation eine Rolle übernehmen und temporäre Anmeldeinformationen an integrierte AWS Dienste weitergeben kann, um auf Tabellen in Verbunddatenbanken zuzugreifen. Wenn ein Standort bei Lake Formation registriert ist und Sie denselben Speicherort für eine Tabelle in einer Verbunddatenbank verwenden möchten, müssen Sie denselben Standort mit der Option **Datenkatalogverbund aktivieren** registrieren.
1. Wählen Sie **den Hybrid-Zugriffsmodus**, um Lake Formation Formation-Berechtigungen standardmäßig nicht zu aktivieren. Wenn Sie den Amazon S3 S3-Standort im Hybridzugriffsmodus registrieren, können Sie Lake Formation Formation-Berechtigungen aktivieren, indem Sie Prinzipale für Datenbanken und Tabellen unter diesem Standort auswählen.
Weitere Informationen zur Einrichtung des hybriden Zugriffsmodus finden Sie unter. [Hybrider Zugriffsmodus](hybrid-access-mode.md)
1. Wählen Sie **Standort registrieren** aus.
**Um einen Standort zu registrieren (AWS CLI)**
1.
**Registrieren Sie einen neuen Standort bei Lake Formation**
In diesem Beispiel wird eine dienstbezogene Rolle verwendet, um den Standort zu registrieren. Sie können das `--role-arn` Argument stattdessen verwenden, um Ihre eigene Rolle anzugeben.
**Ersetzen Sie es durch einen gültigen Amazon S3 S3-Pfad, die Kontonummer durch ein gültiges AWS Konto und ** durch eine IAM-Rolle, die über Berechtigungen zur Registrierung eines Datenstandorts verfügt.
**Anmerkung**
Sie können die Eigenschaften eines registrierten Standorts nicht bearbeiten, wenn er mit einer serviceverknüpften Rolle registriert ist.
```
aws lakeformation register-resource \
--resource-arn arn:aws:s3::: \
--use-service-linked-role
```
Im folgenden Beispiel wird eine benutzerdefinierte Rolle verwendet, um den Standort zu registrieren.
```
aws lakeformation register-resource \
--resource-arn arn:aws:s3::: \
--role-arn arn:aws:iam::<123456789012>:role/
```
1.
**Um einen bei Lake Formation registrierten Standort zu aktualisieren**
Sie können einen registrierten Standort nur bearbeiten, wenn er mit einer benutzerdefinierten IAM-Rolle registriert ist. Bei einem Standort, der mit einer serviceverknüpften Rolle registriert ist, sollten Sie die Registrierung des Standorts aufheben und ihn erneut registrieren. Weitere Informationen finden Sie unter [Abmeldung eines Amazon S3 S3-Standorts](unregister-location.md).
```
aws lakeformation update-resource \
--role-arn arn:aws:iam::<123456789012>:role/\
--resource-arn arn:aws:s3:::
```
```
aws lakeformation update-resource \
--resource-arn arn:aws:s3::: \
--use-service-linked-role
```
1.
**Registrieren Sie einen Datenstandort im Hybridzugriffsmodus mit Verbund**
```
aws lakeformation register-resource \
--resource-arn arn:aws:s3::: \
--role-arn arn:aws:iam::<123456789012>:role/ \
--hybrid-access-enabled
```
```
aws lakeformation register-resource \
--resource-arn arn:aws:s3::: \
--role-arn arn:aws:iam::<123456789012>:role/ \
--with-federation
```
```
aws lakeformation update-resource \
--resource-arn arn:aws:s3::: \
--role-arn arn:aws:iam::<123456789012>:role/ \
--hybrid-access-enabled
```
Weitere Informationen finden Sie unter [RegisterResource](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_RegisterResource.html)API-Betrieb.
**Anmerkung**
Sobald Sie einen Amazon S3 S3-Standort registriert haben, gibt jede AWS Glue Tabelle, die auf den Standort (oder einen seiner untergeordneten Standorte) verweist, den Wert für den `IsRegisteredWithLakeFormation` Parameter wie `true` im `GetTable` Aufruf zurück. Es gibt eine bekannte Einschränkung, dass Datenkatalog-API-Operationen, wie z. B. `GetTables` und `SearchTables` nicht, den Wert für den `IsRegisteredWithLakeFormation` Parameter aktualisieren und den Standardwert zurückgeben, der falsch ist. Es wird empfohlen, die `GetTable` API zu verwenden, um den richtigen Wert für den `IsRegisteredWithLakeFormation` Parameter anzuzeigen.
# Registrierung eines verschlüsselten Amazon S3 S3-Standorts
Lake Formation ist in [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(AWS KMS) integriert, sodass Sie andere integrierte Dienste zum Verschlüsseln und Entschlüsseln von Daten an Amazon Simple Storage Service (Amazon S3) -Standorten einfacher einrichten können.
Beide werden vom Kunden verwaltet AWS KMS keys und Von AWS verwaltete Schlüssel werden unterstützt. Derzeit encryption/decryption wird die Client-Seite nur mit Athena unterstützt.
Sie müssen eine AWS Identity and Access Management (IAM-) Rolle angeben, wenn Sie einen Amazon S3 S3-Standort registrieren. Für verschlüsselte Amazon S3 S3-Standorte muss entweder die Rolle über die Berechtigung zum Verschlüsseln und Entschlüsseln von Daten mit dem verfügen AWS KMS key, oder die KMS-Schlüsselrichtlinie muss Berechtigungen für den Schlüssel der Rolle gewähren.
**Wichtig**
Vermeiden Sie es, einen Amazon S3 S3-Bucket zu registrieren, für den Zahlungen durch den **Antragsteller aktiviert** ist. Bei Buckets, die bei Lake Formation registriert sind, wird die Rolle, mit der der Bucket registriert wurde, immer als der Anforderer angesehen. Wenn ein anderes AWS Konto auf den Bucket zugreift, wird dem Bucket-Besitzer der Datenzugriff in Rechnung gestellt, sofern die Rolle zu demselben Konto gehört wie der Bucket-Besitzer.
Lake Formation verwendet eine serviceverknüpfte Rolle, um Ihre Datenstandorte zu registrieren. Diese Rolle hat jedoch mehrere [Einschränkungen](service-linked-role-limitations.md). Aufgrund dieser Einschränkungen empfehlen wir, stattdessen eine benutzerdefinierte IAM-Rolle zu erstellen und zu verwenden, um mehr Flexibilität und Kontrolle zu gewährleisten. Die benutzerdefinierte Rolle, die Sie für die Registrierung des Standorts erstellen, muss die unter angegebenen Anforderungen erfüllen. [Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden](registration-role.md)
**Wichtig**
Wenn Sie eine verwendet haben Von AWS verwalteter Schlüssel , um den Amazon S3 S3-Standort zu verschlüsseln, können Sie die serviceverknüpfte Rolle Lake Formation nicht verwenden. Sie müssen eine benutzerdefinierte Rolle verwenden und der Rolle IAM-Berechtigungen für den Schlüssel hinzufügen. Einzelheiten finden Sie weiter unten in diesem Abschnitt.
In den folgenden Verfahren wird erklärt, wie Sie einen Amazon S3 S3-Standort registrieren, der entweder mit einem vom Kunden verwalteten Schlüssel oder einem verschlüsselt ist Von AWS verwalteter Schlüssel.
+ [Registrierung eines mit einem vom Kunden verwalteten Schlüssel verschlüsselten Standorts](#proc-register-cust-cmk)
+ [Registrierung eines mit einem verschlüsselten Standort Von AWS verwalteter Schlüssel](#proc-register-aws-cmk)
**Bevor Sie beginnen**
Prüfen Sie die [Anforderungen für die Rolle, die zur Registrierung des Standorts verwendet](registration-role.md) wurde.
**Um einen Amazon S3 S3-Standort zu registrieren, der mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist**
**Anmerkung**
Wenn sich der KMS-Schlüssel oder der Amazon S3 S3-Standort nicht in demselben AWS Konto wie der Datenkatalog befinden, folgen Sie [AWS Kontoübergreifende Registrierung eines verschlüsselten Amazon S3 S3-Standorts](register-cross-encrypted.md) stattdessen den Anweisungen unter.
1. Öffnen Sie die AWS KMS Konsole unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) und melden Sie sich als AWS Identity and Access Management (IAM-) Administratorbenutzer oder als Benutzer an, der die Schlüsselrichtlinie des KMS-Schlüssels ändern kann, der zur Verschlüsselung des Standorts verwendet wird.
1. Wählen Sie im Navigationsbereich die Option Vom **Kunden verwaltete Schlüssel** und dann den Namen des gewünschten KMS-Schlüssels aus.
1. Wählen Sie auf der Seite mit den KMS-Schlüsseldetails die Registerkarte **Schlüsselrichtlinie** aus, und führen Sie dann einen der folgenden Schritte aus, um Ihre benutzerdefinierte Rolle oder die mit dem Lake Formation Service verknüpfte Rolle als KMS-Schlüsselbenutzer hinzuzufügen:
+ **Wenn die Standardansicht angezeigt wird** (mit den Abschnitten **Schlüsseladministratoren**, **Schlüssellöschung**, **Schlüsselbenutzer** und **Andere AWS Konten**), fügen Sie im Abschnitt **Schlüsselbenutzer** Ihre benutzerdefinierte Rolle oder die mit dem Lake Formation Service verknüpfte Rolle `AWSServiceRoleForLakeFormationDataAccess` hinzu.
+ **Wenn die Schlüsselrichtlinie (JSON) angezeigt wird** — Bearbeiten Sie die Richtlinie, um Ihre benutzerdefinierte Rolle oder die mit dem Lake Formation Service verknüpfte Rolle `AWSServiceRoleForLakeFormationDataAccess` zum Objekt „Verwendung des Schlüssels zulassen“ hinzuzufügen, wie im folgenden Beispiel gezeigt.
**Anmerkung**
Wenn das Objekt fehlt, fügen Sie es mit den im Beispiel gezeigten Berechtigungen hinzu. In dem Beispiel wird die serviceverknüpfte Rolle verwendet.
```
...
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess",
"arn:aws:iam::111122223333:user/keyuser"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
...
```
1. Öffnen Sie die AWS Lake Formation Konsole unter. [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) Melden Sie sich als Data Lake-Administrator oder als Benutzer mit der `lakeformation:RegisterResource` IAM-Berechtigung an.
1. Wählen Sie im Navigationsbereich unter **Verwaltung** die Option **Data Lake-Standorte** aus.
1. Wählen Sie **Speicherort registrieren** und anschließend **Durchsuchen**, um einen Amazon Simple Storage Service (Amazon S3) -Pfad auszuwählen.
1. (Optional, aber dringend empfohlen) Wählen Sie **Standortberechtigungen überprüfen**, um eine Liste aller vorhandenen Ressourcen am ausgewählten Amazon S3 S3-Standort und deren Berechtigungen anzuzeigen.
Die Registrierung des ausgewählten Standorts kann dazu führen, dass Ihre Lake Formation Formation-Benutzer Zugriff auf Daten erhalten, die sich bereits an diesem Standort befinden. Durch das Anzeigen dieser Liste können Sie sicherstellen, dass die vorhandenen Daten sicher bleiben.
1. Wählen Sie für die **IAM-Rolle** entweder die `AWSServiceRoleForLakeFormationDataAccess` serviceverknüpfte Rolle (Standard) oder Ihre benutzerdefinierte Rolle, die dem entspricht. [Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden](registration-role.md)
1. Wählen Sie „Standort **registrieren“.**
Weitere Informationen zur serviceverknüpften Rolle finden Sie unter [Dienstbezogene Rollenberechtigungen für Lake Formation](service-linked-roles.md#service-linked-role-permissions).
**Um einen Amazon S3 S3-Standort zu registrieren, der verschlüsselt ist mit einem Von AWS verwalteter Schlüssel**
**Wichtig**
Wenn sich der Amazon S3 S3-Standort nicht in demselben AWS Konto wie der Datenkatalog befindet, folgen Sie [AWS Kontoübergreifende Registrierung eines verschlüsselten Amazon S3 S3-Standorts](register-cross-encrypted.md) stattdessen den Anweisungen unter.
1. Erstellen Sie eine IAM-Rolle, die zur Registrierung des Standorts verwendet werden soll. Stellen Sie sicher, dass es die unter aufgeführten Anforderungen erfüllt. [Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden](registration-role.md)
1. Fügen Sie der Rolle die folgende Inline-Richtlinie hinzu. Sie gewährt Berechtigungen für den Schlüssel zur Rolle. In der `Resource` Spezifikation muss der Amazon-Ressourcenname (ARN) des Von AWS verwalteter Schlüssel angegeben werden. Sie können den ARN von der AWS KMS Konsole abrufen. Um den richtigen ARN zu erhalten, stellen Sie sicher, dass Sie sich bei der AWS KMS Konsole mit demselben AWS Konto und derselben Region anmelden Von AWS verwalteter Schlüssel , mit der der Standort verschlüsselt wurde.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
Sie können KMS-Schlüsselaliase anstelle der Schlüssel-ID verwenden - `arn:aws:kms:region:account-id:key/alias/your-key-alias`
Weitere Informationen finden Sie [im AWS KMS Abschnitt Aliase im](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html) AWS Key Management Service Entwicklerhandbuch.
1. Öffnen Sie die AWS Lake Formation Konsole unter. [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) Melden Sie sich als Data Lake-Administrator oder als Benutzer mit der `lakeformation:RegisterResource` IAM-Berechtigung an.
1. Wählen Sie im Navigationsbereich unter **Verwaltung** die Option **Data Lake-Standorte** aus.
1. Wählen Sie **Standort registrieren** und anschließend **Durchsuchen**, um einen Amazon S3 S3-Pfad auszuwählen.
1. (Optional, aber dringend empfohlen) Wählen Sie **Standortberechtigungen überprüfen**, um eine Liste aller vorhandenen Ressourcen am ausgewählten Amazon S3 S3-Standort und deren Berechtigungen anzuzeigen.
Die Registrierung des ausgewählten Standorts kann dazu führen, dass Ihre Lake Formation Formation-Benutzer Zugriff auf Daten erhalten, die sich bereits an diesem Standort befinden. Durch das Anzeigen dieser Liste können Sie sicherstellen, dass die vorhandenen Daten sicher bleiben.
1. Wählen Sie für die **IAM-Rolle** die Rolle aus, die Sie in Schritt 1 erstellt haben.
1. Wählen Sie **Standort registrieren**.
# Registrierung eines Amazon S3 S3-Standorts in einem anderen AWS Konto
AWS Lake Formation ermöglicht es Ihnen, Amazon Simple Storage Service (Amazon S3) -Standorte AWS kontenübergreifend zu registrieren. Wenn sich der beispielsweise in Konto A AWS Glue Data Catalog befindet, kann ein Benutzer in Konto A einen Amazon S3 S3-Bucket in Konto B registrieren.
Die Registrierung eines Amazon S3 S3-Buckets in AWS Konto B mithilfe einer AWS Identity and Access Management (IAM-) Rolle in AWS Konto A erfordert die folgenden Berechtigungen:
+ Die Rolle in Konto A muss Berechtigungen für den Bucket in Konto B gewähren.
+ Die Bucket-Richtlinie in Konto B muss der Rolle in Konto A Zugriffsberechtigungen gewähren.
**Wichtig**
Vermeiden Sie es, einen Amazon S3 S3-Bucket zu registrieren, für den Zahlungen durch den **Antragsteller aktiviert** ist. Bei Buckets, die bei Lake Formation registriert sind, wird die Rolle, mit der der Bucket registriert wurde, immer als der Anforderer angesehen. Wenn ein anderes AWS Konto auf den Bucket zugreift, wird dem Bucket-Besitzer der Datenzugriff in Rechnung gestellt, sofern die Rolle zu demselben Konto gehört wie der Bucket-Besitzer.
Sie können die dienstverknüpfte Rolle Lake Formation nicht verwenden, um einen Standort in einem anderen Konto zu registrieren. Sie müssen stattdessen eine benutzerdefinierte Rolle verwenden. Die Rolle muss die Anforderungen von erfüllen. [Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden](registration-role.md) Weitere Informationen zur serviceverknüpften Rolle finden Sie unter [Dienstbezogene Rollenberechtigungen für Lake Formation](service-linked-roles.md#service-linked-role-permissions).
**Bevor Sie beginnen**
Überprüfen Sie die [Anforderungen für die Rolle, mit der der Standort registriert](registration-role.md) wurde.
**Um einen Standort in einem anderen AWS Konto zu registrieren**
**Anmerkung**
Wenn der Standort verschlüsselt ist, folgen Sie [AWS Kontoübergreifende Registrierung eines verschlüsselten Amazon S3 S3-Standorts](register-cross-encrypted.md) stattdessen den Anweisungen unter.
Das folgende Verfahren geht davon aus, dass ein Principal im Konto 1111-2222-3333, das den Datenkatalog enthält, den Amazon S3 S3-Bucket registrieren möchte, der sich im Konto `awsexamplebucket1` 1234-5678-9012 befindet.
1. Melden Sie sich im Konto 1111-2222-3333 bei der an und öffnen Sie die IAM-Konsole unter. AWS-Managementkonsole [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Erstellen Sie eine neue Rolle oder zeigen Sie eine vorhandene Rolle an, die die Anforderungen in erfüllt. [Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden](registration-role.md) Stellen Sie sicher, dass die Rolle Amazon S3 S3-Berechtigungen gewährt`awsexamplebucket1`.
1. Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/). Melden Sie sich mit dem Konto 1234-5678-9012 an.
1. Wählen Sie in der Liste mit den **Bucket-Namen den Bucket-Namen** aus. `awsexamplebucket1`
1. Wählen Sie **Berechtigungen**.
1. Wählen Sie auf der Seite „**Berechtigungen**“ die Option **Bucket Policy** aus.
1. Fügen Sie im **Bucket-Policy-Editor** die folgende Richtlinie ein. Ersetzen Sie ** durch den Namen Ihrer Rolle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Principal": {
"AWS":"arn:aws:iam::111122223333:role/"
},
"Action":"s3:ListBucket",
"Resource":"arn:aws:s3:::awsexamplebucket1"
},
{
"Effect":"Allow",
"Principal": {
"AWS":"arn:aws:iam::111122223333:role/"
},
"Action": [
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObject"
],
"Resource":"arn:aws:s3:::awsexamplebucket1/*"
}
]
}
```
------
1. Wählen Sie **Speichern**.
1. Öffnen Sie die AWS Lake Formation Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Melden Sie sich als Data Lake-Administrator oder als Benutzer mit ausreichenden Berechtigungen zum Registrieren von Standorten beim Konto 1111-2222-3333 an.
1. **Wählen Sie im Navigationsbereich unter **Verwaltung** die Option Data Lake-Standorte aus.**
1. Wählen Sie auf der Seite **Data Lake-Standorte** die Option **Standort registrieren** aus.
1. Geben Sie auf der **Seite Speicherort registrieren** für den **Amazon S3 S3-Pfad** den Bucket-Namen ein`s3://awsexamplebucket1`.
**Anmerkung**
**Sie müssen den Bucket-Namen eingeben, da kontoübergreifende Buckets nicht in der Liste erscheinen, wenn Sie Durchsuchen wählen.**
1. Wählen Sie für die **IAM-Rolle Ihre Rolle** aus.
1. Wählen Sie **Standort registrieren**.
# AWS Kontoübergreifende Registrierung eines verschlüsselten Amazon S3 S3-Standorts
AWS Lake Formation integriert in [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(AWS KMS), damit Sie andere integrierte Dienste zum Verschlüsseln und Entschlüsseln von Daten an Amazon Simple Storage Service (Amazon S3) -Standorten einfacher einrichten können.
Beide vom Kunden verwalteten Schlüssel und Von AWS verwaltete Schlüssel werden unterstützt. Clientseitig encryption/decryption wird nicht unterstützt.
**Wichtig**
Vermeiden Sie es, einen Amazon S3 S3-Bucket zu registrieren, für den Zahlungen durch den **Antragsteller aktiviert** ist. Bei Buckets, die bei Lake Formation registriert sind, wird die Rolle, mit der der Bucket registriert wurde, immer als der Anforderer angesehen. Wenn ein anderes AWS Konto auf den Bucket zugreift, wird dem Bucket-Besitzer der Datenzugriff in Rechnung gestellt, sofern die Rolle zu demselben Konto gehört wie der Bucket-Besitzer.
In diesem Abschnitt wird erklärt, wie Sie einen Amazon S3 S3-Standort unter den folgenden Umständen registrieren:
+ Die Daten am Amazon S3 S3-Standort werden mit einem KMS-Schlüssel verschlüsselt, der in erstellt wurde AWS KMS.
+ Der Amazon S3 S3-Standort befindet sich nicht in demselben AWS Konto wie der AWS Glue Data Catalog.
+ Der KMS-Schlüssel befindet sich entweder in demselben AWS Konto wie der Datenkatalog oder nicht.
Die Registrierung eines AWS KMS—verschlüsselten Amazon S3 S3-Buckets in AWS Konto B mithilfe einer AWS Identity and Access Management (IAM-) Rolle in AWS Konto A erfordert die folgenden Berechtigungen:
+ Die Rolle in Konto A muss Berechtigungen für den Bucket in Konto B gewähren.
+ Die Bucket-Richtlinie in Konto B muss der Rolle in Konto A Zugriffsberechtigungen gewähren.
+ Wenn sich der KMS-Schlüssel in Konto B befindet, muss die Schlüsselrichtlinie Zugriff auf die Rolle in Konto A gewähren, und die Rolle in Konto A muss Berechtigungen für den KMS-Schlüssel gewähren.
Im folgenden Verfahren erstellen Sie eine Rolle in dem AWS Konto, das den Datenkatalog enthält (Konto A in der vorherigen Diskussion). Anschließend verwenden Sie diese Rolle, um den Standort zu registrieren. Lake Formation übernimmt diese Rolle beim Zugriff auf zugrunde liegende Daten in Amazon S3. Die übernommene Rolle verfügt über die erforderlichen Berechtigungen für den KMS-Schlüssel. Daher müssen Sie Prinzipalen, die mit ETL-Aufträgen oder integrierten Diensten wie z. B. auf die zugrunde liegenden Daten zugreifen, keine Berechtigungen für den KMS-Schlüssel gewähren. Amazon Athena
**Wichtig**
Sie können die dienstverknüpfte Rolle Lake Formation nicht verwenden, um einen Standort in einem anderen Konto zu registrieren. Sie müssen stattdessen eine benutzerdefinierte Rolle verwenden. Die Rolle muss die Anforderungen von erfüllen. [Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden](registration-role.md) Weitere Informationen zur serviceverknüpften Rolle finden Sie unter [Dienstbezogene Rollenberechtigungen für Lake Formation](service-linked-roles.md#service-linked-role-permissions).
**Bevor Sie beginnen**
Überprüfen Sie die [Anforderungen für die Rolle, mit der der Standort registriert](registration-role.md) wurde.
**Um einen verschlüsselten Amazon S3 S3-Standort AWS kontenübergreifend zu registrieren**
1. Melden Sie sich mit demselben AWS Konto wie der Datenkatalog an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Erstellen Sie eine neue Rolle oder zeigen Sie eine vorhandene Rolle an, die die Anforderungen in [Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden](registration-role.md) erfüllt. Stellen Sie sicher, dass die Rolle eine Richtlinie enthält, die Amazon S3 S3-Berechtigungen für den Standort gewährt.
1. Wenn sich der KMS-Schlüssel nicht in demselben Konto wie der Datenkatalog befindet, fügen Sie der Rolle eine Inline-Richtlinie hinzu, die die erforderlichen Berechtigungen für den KMS-Schlüssel gewährt. Es folgt eine Beispielrichtlinie . Ersetzen Sie Region und Konto-ID durch die Region und Kontonummer des KMS-Schlüssels. **Ersetzen Sie durch die Schlüssel-ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/"
}
]
}
```
------
1. Fügen Sie in der Amazon S3 S3-Konsole eine Bucket-Richtlinie hinzu, die der Rolle die erforderlichen Amazon S3 S3-Berechtigungen gewährt. Hier finden Sie ein Beispiel für eine Bucket-Richtlinie. Ersetzen Sie die Konto-ID durch die AWS Kontonummer des Datenkatalogs, ** durch den Namen Ihrer Rolle und ** durch den Namen des Buckets.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Principal": {
"AWS":"arn:aws:iam::111122223333:role/"
},
"Action":"s3:ListBucket",
"Resource":"arn:aws:s3:::"
},
{
"Effect":"Allow",
"Principal": {
"AWS":"arn:aws:iam::111122223333:role/"
},
"Action": [
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObject"
],
"Resource":"arn:aws:s3:::/*"
}
]
}
```
------
1. Fügen Sie AWS KMS unter die Rolle als Benutzer des KMS-Schlüssels hinzu.
1. Öffnen Sie die AWS KMS Konsole unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms). Melden Sie sich dann als Administratorbenutzer oder als Benutzer an, der die Schlüsselrichtlinie des KMS-Schlüssels ändern kann, der zur Verschlüsselung des Speicherorts verwendet wird.
1. Wählen Sie im Navigationsbereich die Option Vom **Kunden verwaltete Schlüssel** und dann den Namen des KMS-Schlüssels aus.
1. Wenn auf der Seite mit den **KMS-Schlüsseldetails auf der Registerkarte Schlüsselrichtlinie** die JSON-Ansicht der Schlüsselrichtlinie nicht angezeigt wird, wählen Sie **Zur Richtlinienansicht wechseln** aus.
1. Wählen Sie im Abschnitt **Schlüsselrichtlinie** die Option **Bearbeiten** und fügen Sie dem `Allow use of the key` Objekt den Amazon-Ressourcennamen (ARN) der Rolle hinzu, wie im folgenden Beispiel gezeigt.
**Anmerkung**
Wenn das Objekt fehlt, fügen Sie es mit den im Beispiel gezeigten Berechtigungen hinzu.
```
...
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam:::role/"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
...
```
Weitere Informationen finden Sie unter [Zulassen, dass Benutzer mit anderen Konten einen KMS-Schlüssel verwenden](https://docs.amazonaws.cn/en_us/kms/latest/developerguide/key-policy-modifying-external-accounts.html) können im *AWS Key Management Service Entwicklerhandbuch*.
1. Öffnen Sie die AWS Lake Formation Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Melden Sie sich als Data Lake-Administrator beim Data AWS Catalog-Konto an.
1. Wählen Sie im Navigationsbereich unter **Verwaltung** die Option **Data Lake-Standorte** aus.
1. Wählen Sie **Standort registrieren** aus.
1. Geben Sie auf der **Seite Standort registrieren** für **Amazon S3 S3-Pfad** den Standortpfad als ein**s3://**/****. **Ersetzen Sie ihn durch den Namen des Buckets und ** durch den Rest des Pfads für den Standort.
**Anmerkung**
**Sie müssen den Pfad eingeben, da kontoübergreifende Buckets nicht in der Liste angezeigt werden, wenn Sie Durchsuchen wählen.**
1. Wählen Sie für die **IAM-Rolle** die Rolle aus Schritt 2 aus.
1. Wählen Sie **Standort registrieren** aus.
# Abmeldung eines Amazon S3 S3-Standorts
Sie können einen Amazon Simple Storage Service (Amazon S3) -Standort abmelden, wenn Sie nicht mehr möchten, dass er von Lake Formation verwaltet wird. Die Abmeldung eines Standorts hat keine Auswirkungen auf die Datenstandortberechtigungen von Lake Formation, die für diesen Standort erteilt wurden. Sie können einen Standort, für den Sie die Registrierung aufgehoben haben, erneut registrieren, und die Berechtigungen für den Datenspeicherort bleiben in Kraft. Sie können eine andere Rolle verwenden, um den Standort erneut zu registrieren.
**Um einen Standort abzumelden (Konsole)**
1. Öffnen Sie die AWS Lake Formation Konsole unter. [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) Melden Sie sich als Data Lake-Administrator oder als Benutzer mit der `lakeformation:RegisterResource` IAM-Berechtigung an.
1. Wählen Sie im Navigationsbereich unter **Verwaltung** die Option **Data Lake-Standorte** aus.
1. Wählen Sie einen Speicherort aus, und klicken Sie im Menü **Aktionen** auf **Entfernen**.
1. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie **Entfernen**.