Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden
Sie müssen eine AWS Identity and Access Management (IAM) -Rolle angeben, wenn Sie einen Amazon Simple Storage Service (Amazon S3) -Standort registrieren. AWS Lake Formation nimmt diese Rolle beim Zugriff auf die Daten an diesem Standort an.
Sie können einen der folgenden Rollentypen verwenden, um einen Standort zu registrieren:
+ Die dienstleistungsbezogene Rolle von Lake Formation. Diese Rolle gewährt die erforderlichen Berechtigungen für den Standort. Die Verwendung dieser Rolle ist die einfachste Methode, den Standort zu registrieren. Weitere Informationen erhalten Sie unter [Verwenden von serviceverknüpften Rollen für Lake Formation](service-linked-roles.md) und [Einschränkungen für dienstbezogene Rollen](service-linked-role-limitations.md).
+ Eine benutzerdefinierte Rolle. Verwenden Sie eine benutzerdefinierte Rolle, wenn Sie mehr Berechtigungen gewähren müssen, als die dienstverknüpfte Rolle bietet.
In den folgenden Fällen müssen Sie eine benutzerdefinierte Rolle verwenden:
+ Bei der Registrierung eines Standorts in einem anderen Konto.
Weitere Informationen erhalten Sie unter [Registrierung eines Amazon S3 S3-Standorts in einem anderen AWS Konto](register-cross-account.md) und [AWS Kontoübergreifende Registrierung eines verschlüsselten Amazon S3 S3-Standorts](register-cross-encrypted.md).
+ Wenn Sie ein AWS verwaltetes CMK (`aws/s3`) verwendet haben, um den Amazon S3 S3-Standort zu verschlüsseln.
Weitere Informationen finden Sie unter [Registrierung eines verschlüsselten Amazon S3 S3-Standorts](register-encrypted.md).
+ Wenn Sie mit Amazon EMR auf den Standort zugreifen möchten.
Wenn Sie bereits einen Standort mit der serviceverknüpften Rolle registriert haben und mit Amazon EMR auf den Standort zugreifen möchten, müssen Sie den Standort abmelden und ihn mit einer benutzerdefinierten Rolle erneut registrieren. Weitere Informationen finden Sie unter [Abmeldung eines Amazon S3 S3-Standorts](unregister-location.md).
# Verwenden von serviceverknüpften Rollen für Lake Formation
AWS Lake Formation verwendet eine *dienstbezogene AWS Identity and Access Management (IAM-*) Rolle. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Lake Formation verknüpft ist. Die dienstverknüpfte Rolle ist von Lake Formation vordefiniert und umfasst alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Lake Formation, da Sie keine Rolle erstellen und die erforderlichen Berechtigungen manuell hinzufügen müssen. Lake Formation definiert die Berechtigungen seiner dienstbezogenen Rolle, und sofern nicht anders definiert, kann nur Lake Formation seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Diese dienstbezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `lakeformation.amazonaws.com`
Wenn Sie eine serviceverknüpfte Rolle in Konto A verwenden, um einen Amazon S3 S3-Standort zu registrieren, der Konto B gehört, muss die Amazon S3 S3-Bucket-Richtlinie (eine ressourcenbasierte Richtlinie) in Konto B Zugriffsberechtigungen für die serviceverknüpfte Rolle in Konto A gewähren.
Informationen zur Verwendung einer serviceverknüpften Rolle zur Registrierung eines Datenstandorts finden Sie unter. [Einschränkungen für dienstbezogene Rollen](service-linked-role-limitations.md)
**Anmerkung**
Richtlinien zur Dienststeuerung (SCPs) wirken sich nicht auf dienstverknüpfte Rollen aus.
Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Servicesteuerung (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html).
## Dienstbezogene Rollenberechtigungen für Lake Formation
Lake Formation verwendet die angegebene dienstbezogene Rolle. `AWSServiceRoleForLakeFormationDataAccess` Diese Rolle bietet eine Reihe von Amazon Simple Storage Service (Amazon S3) -Berechtigungen, die es dem integrierten Service von Lake Formation (z. B. Amazon Athena) ermöglichen, auf registrierte Standorte zuzugreifen. Wenn Sie einen Data Lake-Standort registrieren, müssen Sie eine Rolle angeben, die über die erforderlichen Amazon S3 read/write S3-Berechtigungen für diesen Standort verfügt. Anstatt eine Rolle mit den erforderlichen Amazon S3 S3-Berechtigungen zu erstellen, können Sie diese serviceverknüpfte Rolle verwenden.
Wenn Sie die serviceverknüpfte Rolle zum ersten Mal als Rolle angeben, mit der ein Pfad registriert werden soll, werden die serviceverknüpfte Rolle und eine neue IAM-Richtlinie in Ihrem Namen erstellt. Lake Formation fügt den Pfad zur Inline-Richtlinie hinzu und fügt ihn der dienstbezogenen Rolle hinzu. Wenn Sie nachfolgende Pfade mit der serviceverknüpften Rolle registrieren, fügt Lake Formation den Pfad der vorhandenen Richtlinie hinzu.
Registrieren Sie einen Data Lake-Standort, während Sie als Data Lake-Administrator angemeldet sind. Suchen Sie dann in der IAM-Konsole nach der Rolle `AWSServiceRoleForLakeFormationDataAccess` und sehen Sie sich die zugehörigen Richtlinien an.
Nachdem Sie den Standort registriert haben`s3://my-kinesis-test/logs`, erstellt Lake Formation beispielsweise die folgende Inline-Richtlinie und hängt sie an an. `AWSServiceRoleForLakeFormationDataAccess`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::my-kinesis-test/logs/*"
]
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my-kinesis-test"
]
}
]
}
```
------
## Schaffung einer dienstbezogenen Rolle für Lake Formation
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie einen Amazon S3 S3-Standort bei Lake Formation in der AWS-Managementkonsole, der AWS CLI oder der AWS API registrieren, erstellt Lake Formation die serviceverknüpfte Rolle für Sie.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Weitere Informationen finden Sie unter [In meinem IAM-Konto wird eine neue Rolle angezeigt](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie einen Amazon S3 S3-Standort bei Lake Formation registrieren, erstellt Lake Formation die serviceverknüpfte Rolle erneut für Sie.
Sie können die IAM-Konsole auch verwenden, um eine serviceverknüpfte Rolle mit dem **Lake Formation Formation-Anwendungsfall** zu erstellen. Erstellen Sie in der AWS CLI oder der AWS API eine dienstverknüpfte Rolle mit dem `lakeformation.amazonaws.com` Dienstnamen. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
## Bearbeiten einer serviceverknüpften Rolle für Lake Formation
In Lake Formation können Sie die `AWSServiceRoleForLakeFormationDataAccess` serviceverknüpfte Rolle nicht bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für Lake Formation
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der Lake Formation Formation-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um Lake Formation-Ressourcen zu löschen, die von der Lake Formation verwendet werden**
+ Wenn Sie die serviceverknüpfte Rolle verwendet haben, um Amazon S3 S3-Standorte bei Lake Formation zu registrieren, müssen Sie vor dem Löschen der serviceverknüpften Rolle den Standort abmelden und ihn mit einer benutzerdefinierten Rolle erneut registrieren.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die API, um die serviceverknüpfte AWS CLI Rolle zu löschen. AWS `AWSServiceRoleForLakeFormationDataAccess` Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.
Im Folgenden sind die Anforderungen für eine benutzerdefinierte Rolle aufgeführt:
+ Wählen Sie beim Erstellen der neuen Rolle auf der Seite **Rolle erstellen** der IAM-Konsole **AWS Service** und dann unter **Anwendungsfall auswählen** die Option **Lake Formation** aus.
Wenn Sie die Rolle unter Verwendung eines anderen Pfads erstellen, stellen Sie sicher, dass für die Rolle eine Vertrauensstellung besteht. `lakeformation.amazonaws.com` Weitere Informationen finden Sie unter [Ändern einer Vertrauensrichtlinie für Rollen (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).
+ Die Rolle muss über eine Inline-Richtlinie verfügen, die Amazon S3 read/write S3-Berechtigungen für den Standort gewährt. Im Folgenden finden Sie eine typische Richtlinie.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::awsexamplebucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::awsexamplebucket"
]
}
]
}
```
------
+ Fügen Sie der IAM-Rolle die folgende Vertrauensrichtlinie hinzu, damit der Lake Formation Formation-Dienst die Rolle übernehmen und temporäre Anmeldeinformationen an die integrierten Analyse-Engines weitergeben kann.
Um den IAM Identity Center-Benutzerkontext in die CloudTrail Protokolle aufzunehmen, muss die Vertrauensrichtlinie über die entsprechende Berechtigung für die Aktion verfügen. `sts:SetContext`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DataCatalogViewDefinerAssumeRole1",
"Effect": "Allow",
"Principal": {
"Service": [
"lakeformation.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
+ Der Data Lake-Administrator, der den Standort registriert, muss über die entsprechenden `iam:PassRole` Berechtigungen für die Rolle verfügen.
Im Folgenden finden Sie eine Inline-Richtlinie, die diese Berechtigung gewährt. **Ersetzen Sie es durch eine gültige AWS Kontonummer und ** ersetzen Sie es durch den Namen der Rolle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PassRolePermissions",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/"
]
}
]
}
```
------
+ Damit Lake Formation Logs zu Logs hinzufügen und Metriken veröffentlichen kann, fügen Sie die folgende Inline-Richtlinie hinzu. CloudWatch
**Anmerkung**
Das Schreiben in CloudWatch Logs ist kostenpflichtig.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Sid1",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:/aws-lakeformation-acceleration/*",
"arn:aws:logs:us-east-1:111122223333:log-group:/aws-lakeformation-acceleration/*:log-stream:*"
]
}
]
}
```
------