Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Persyaratan untuk peran yang digunakan untuk mendaftarkan lokasi
<a name="registration-role"></a>

Anda harus menentukan peran AWS Identity and Access Management (IAM) saat mendaftarkan lokasi Amazon Simple Storage Service (Amazon S3). AWS Lake Formation mengasumsikan peran itu saat mengakses data di lokasi itu.

Anda dapat menggunakan salah satu jenis peran berikut untuk mendaftarkan lokasi:
+ Peran terkait layanan Lake Formation. Peran ini memberikan izin yang diperlukan di lokasi. Menggunakan peran ini adalah cara paling sederhana untuk mendaftarkan lokasi. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk Lake Formation](service-linked-roles.md) dan [Batasan peran terkait layanan](service-linked-role-limitations.md).
+ Peran yang ditentukan pengguna. Gunakan peran yang ditentukan pengguna saat Anda perlu memberikan lebih banyak izin daripada yang diberikan peran terkait layanan.

  Anda harus menggunakan peran yang ditentukan pengguna dalam keadaan berikut:
  + Saat mendaftarkan lokasi di akun lain.

    Untuk informasi selengkapnya, lihat [Mendaftarkan lokasi Amazon S3 di akun lain AWS](register-cross-account.md) dan [Mendaftarkan lokasi Amazon S3 terenkripsi di seluruh akun AWS](register-cross-encrypted.md).
  + Jika Anda menggunakan CMK (`aws/s3`) AWS terkelola untuk mengenkripsi lokasi Amazon S3.

    Untuk informasi selengkapnya, lihat [Mendaftarkan lokasi Amazon S3 terenkripsi](register-encrypted.md).
  + Jika Anda berencana untuk mengakses lokasi menggunakan Amazon EMR.

    Jika Anda sudah mendaftarkan lokasi dengan peran terkait layanan dan ingin mulai mengakses lokasi dengan Amazon EMR, Anda harus membatalkan pendaftaran lokasi dan mendaftarkannya kembali dengan peran yang ditentukan pengguna. Untuk informasi selengkapnya, lihat [Membatalkan pendaftaran lokasi Amazon S3](unregister-location.md).

Berikut ini adalah persyaratan untuk peran yang ditentukan pengguna:
+ Saat membuat peran baru, pada halaman **Buat peran** konsol IAM, pilih **AWS layanan**, lalu di bawah **Pilih kasus penggunaan**, pilih **Lake Formation**.

  Jika Anda membuat peran menggunakan jalur yang berbeda, pastikan bahwa peran tersebut memiliki hubungan kepercayaan dengan`lakeformation.amazonaws.com`. Untuk informasi selengkapnya, lihat [Memodifikasi kebijakan kepercayaan peran (Konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).
+ Peran harus memiliki kebijakan sebaris yang memberikan izin Amazon read/write S3 di lokasi. Berikut ini adalah kebijakan yang khas.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "s3:PutObject",
                  "s3:GetObject",
                  "s3:DeleteObject"
              ],
              "Resource": [
                  "arn:aws:s3:::awsexamplebucket/*"
              ]
          },
          {
              "Effect": "Allow",
              "Action": [
                  "s3:ListBucket"
              ],
              "Resource": [
                  "arn:aws:s3:::awsexamplebucket"
              ]
          }
      ]
  }
  ```

------
+ Tambahkan kebijakan kepercayaan berikut ke peran IAM untuk memungkinkan layanan Lake Formation mengambil peran dan menjual kredensi sementara ke mesin analitik terintegrasi.

  Untuk menyertakan konteks pengguna Pusat Identitas IAM dalam CloudTrail log, kebijakan kepercayaan harus memiliki izin untuk `sts:SetContext` tindakan tersebut.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "DataCatalogViewDefinerAssumeRole1",
              "Effect": "Allow",
              "Principal": {
                 "Service": [                    
                      "lakeformation.amazonaws.com"
                   ]
              },
              "Action": [
                  "sts:AssumeRole",
                  "sts:SetContext"
              ]
          }
      ]
  }
  ```

------
+ Administrator data lake yang mendaftarkan lokasi harus memiliki `iam:PassRole` izin pada peran tersebut.

  Berikut ini adalah kebijakan inline yang memberikan izin ini. Ganti {{<account-id>}} dengan nomor AWS akun yang valid, dan ganti {{<role-name>}} dengan nama peran.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "PassRolePermissions",
              "Effect": "Allow",
              "Action": [
                  "iam:PassRole"
              ],
              "Resource": [
                  "arn:aws:iam::{{111122223333}}:role/{{<role-name>}}"
              ]
          }
      ]
  }
  ```

------
+ Untuk mengizinkan Lake Formation menambahkan CloudWatch log di Log dan menerbitkan metrik, tambahkan kebijakan sebaris berikut.
**catatan**  
Menulis ke CloudWatch Log menimbulkan biaya.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "Sid1",
              "Effect": "Allow",
              "Action": [
                  "logs:CreateLogStream",
                  "logs:CreateLogGroup",
                  "logs:PutLogEvents"
              ],
              "Resource": [
                   "arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:/aws-lakeformation-acceleration/*",
                   "arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:/aws-lakeformation-acceleration/*:log-stream:*"
              ]
          }
      ]
  }
  ```

------