Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Requisiti per i ruoli utilizzati per registrare le sedi
È necessario specificare un ruolo AWS Identity and Access Management (IAM) quando si registra una sede Amazon Simple Storage Service (Amazon S3). AWS Lake Formation assume quel ruolo quando accede ai dati in quella posizione.
È possibile utilizzare uno dei seguenti tipi di ruolo per registrare una posizione:
+ Il ruolo legato ai servizi di Lake Formation. Questo ruolo concede le autorizzazioni necessarie sulla sede. L'utilizzo di questo ruolo è il modo più semplice per registrare la posizione. Per ulteriori informazioni, consultare [Utilizzo di ruoli collegati ai servizi per Lake Formation](service-linked-roles.md) e [Limitazioni dei ruoli legati ai servizi](service-linked-role-limitations.md).
+ Un ruolo definito dall'utente. Utilizza un ruolo definito dall'utente quando devi concedere più autorizzazioni rispetto a quelle fornite dal ruolo collegato al servizio.
È necessario utilizzare un ruolo definito dall'utente nelle seguenti circostanze:
+ Quando si registra una sede in un altro account.
Per ulteriori informazioni, consultare [Registrazione di una sede Amazon S3 in un altro account AWS](register-cross-account.md) e [Registrazione di una posizione Amazon S3 crittografata tra più account AWS](register-cross-encrypted.md).
+ Se hai utilizzato una CMK (`aws/s3`) AWS gestita per crittografare la posizione Amazon S3.
Per ulteriori informazioni, consulta [Registrazione di una posizione Amazon S3 crittografata](register-encrypted.md).
+ Se prevedi di accedere alla posizione utilizzando Amazon EMR.
Se hai già registrato una sede con il ruolo collegato al servizio e desideri iniziare ad accedervi con Amazon EMR, devi annullare la registrazione della sede e registrarla nuovamente con un ruolo definito dall'utente. Per ulteriori informazioni, consulta [Annullamento della registrazione di una sede Amazon S3](unregister-location.md).
# Utilizzo di ruoli collegati ai servizi per Lake Formation
AWS Lake Formation *utilizza un ruolo collegato al AWS Identity and Access Management servizio (IAM).* Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a Lake Formation. Il ruolo collegato al servizio è predefinito da Lake Formation e include tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.
Un ruolo collegato al servizio semplifica la configurazione di Lake Formation perché non è necessario creare un ruolo e aggiungere manualmente le autorizzazioni necessarie. Lake Formation definisce le autorizzazioni del suo ruolo collegato ai servizi e, se non diversamente definito, solo Lake Formation può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.
Questo ruolo collegato al servizio si affida ai seguenti servizi per l'assunzione del ruolo:
+ `lakeformation.amazonaws.com`
Quando utilizzi un ruolo collegato al servizio nell'account A per registrare una sede Amazon S3 di proprietà dell'account B, la policy del bucket Amazon S3 (una politica basata sulle risorse) nell'account B deve concedere le autorizzazioni di accesso al ruolo collegato al servizio nell'account A.
Per informazioni sull'utilizzo del ruolo collegato al servizio per registrare una posizione di dati, consulta. [Limitazioni dei ruoli legati ai servizi](service-linked-role-limitations.md)
**Nota**
Le politiche di controllo del servizio (SCPs) non influiscono sui ruoli collegati ai servizi.
Per ulteriori informazioni, consulta [Service control policies (SCPs) nella guida](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) per l'*AWS Organizations utente*.
## Autorizzazioni di ruolo collegate al servizio per Lake Formation
Lake Formation utilizza il ruolo collegato al servizio denominato. `AWSServiceRoleForLakeFormationDataAccess` Questo ruolo fornisce una serie di autorizzazioni Amazon Simple Storage Service (Amazon S3) che consentono al servizio integrato Lake Formation (ad esempio) di accedere alle sedi Amazon Athena registrate. Quando registri una posizione di data lake, devi fornire un ruolo con le read/write autorizzazioni Amazon S3 richieste in quella posizione. Invece di creare un ruolo con le autorizzazioni richieste di Amazon S3, puoi utilizzare questo ruolo collegato al servizio.
La prima volta che nomini il ruolo collegato al servizio come ruolo con cui registrare un percorso, il ruolo collegato al servizio e una nuova policy IAM vengono creati per tuo conto. Lake Formation aggiunge il percorso alla politica in linea e la associa al ruolo collegato ai servizi. Quando registri percorsi successivi con il ruolo collegato al servizio, Lake Formation aggiunge il percorso alla policy esistente.
Dopo aver effettuato l'accesso come amministratore del data lake, registra una posizione di data lake. Quindi, nella console IAM, cerca il ruolo `AWSServiceRoleForLakeFormationDataAccess` e visualizza le policy allegate.
Ad esempio, dopo aver registrato la località`s3://my-kinesis-test/logs`, Lake Formation crea la seguente politica in linea e la allega a. `AWSServiceRoleForLakeFormationDataAccess`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::my-kinesis-test/logs/*"
]
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my-kinesis-test"
]
}
]
}
```
------
## Creazione di un ruolo legato ai servizi per Lake Formation
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando registri una sede Amazon S3 con Lake Formation nell' AWS API Console di gestione AWS, Lake Formation crea automaticamente il ruolo collegato al servizio. AWS CLI
**Importante**
Questo ruolo collegato ai servizi può apparire nell'account se è stata completata un'operazione in un altro servizio che utilizza le funzionalità supportate dal ruolo. Per ulteriori informazioni, consulta [Un nuovo ruolo è apparso nel mio account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando registri una sede Amazon S3 con Lake Formation, Lake Formation crea nuovamente il ruolo collegato al servizio per te.
Puoi anche utilizzare la console IAM per creare un ruolo collegato ai servizi con lo use case **Lake Formation**. Nella AWS CLI o nell' AWS API, crea un ruolo collegato al servizio con il nome del servizio. `lakeformation.amazonaws.com` Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l’utente IAM*. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.
## Modifica di un ruolo collegato ai servizi per Lake Formation
Lake Formation non consente di modificare il ruolo `AWSServiceRoleForLakeFormationDataAccess` collegato al servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Lake Formation
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Nota**
Se il servizio Lake Formation utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare le risorse di Lake Formation utilizzate da Lake Formation**
+ Se hai utilizzato il ruolo collegato al servizio per registrare le sedi Amazon S3 con Lake Formation, prima di eliminare il ruolo collegato al servizio, devi annullare la registrazione della posizione e registrarla nuovamente utilizzando un ruolo personalizzato.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Usa la console IAM, o l'API per eliminare il ruolo collegato al servizio. AWS CLI AWS `AWSServiceRoleForLakeFormationDataAccess` Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente di IAM*.
Di seguito sono riportati i requisiti per un ruolo definito dall'utente:
+ Quando crei il nuovo ruolo, **nella pagina Crea ruolo** della console IAM, scegli **AWS service**, quindi in **Choose a use case** scegli **Lake Formation**.
Se crei il ruolo utilizzando un percorso diverso, assicurati che il ruolo abbia una relazione di fiducia con`lakeformation.amazonaws.com`. Per ulteriori informazioni, vedere [Modifica di una politica di attendibilità dei ruoli (Console).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html)
+ Il ruolo deve avere una politica in linea che conceda le autorizzazioni di Amazon read/write S3 sulla posizione. Di seguito è riportata una politica tipica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::awsexamplebucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::awsexamplebucket"
]
}
]
}
```
------
+ Aggiungi la seguente policy di fiducia al ruolo IAM per consentire al servizio Lake Formation di assumere il ruolo e fornire credenziali temporanee ai motori analitici integrati.
Per includere il contesto utente di IAM Identity Center nei CloudTrail log, la policy di fiducia deve disporre dell'autorizzazione per l'azione. `sts:SetContext`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DataCatalogViewDefinerAssumeRole1",
"Effect": "Allow",
"Principal": {
"Service": [
"lakeformation.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
+ L'amministratore del data lake che registra la posizione deve disporre dell'`iam:PassRole`autorizzazione per il ruolo.
Di seguito è riportata una politica in linea che concede questa autorizzazione. Sostituiscilo ** con un numero di AWS account valido e ** sostituiscilo con il nome del ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PassRolePermissions",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/"
]
}
]
}
```
------
+ Per consentire a Lake Formation di aggiungere log in CloudWatch Logs e pubblicare metriche, aggiungi la seguente politica in linea.
**Nota**
La scrittura su CloudWatch Logs comporta un costo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Sid1",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:/aws-lakeformation-acceleration/*",
"arn:aws:logs:us-east-1:111122223333:log-group:/aws-lakeformation-acceleration/*:log-stream:*"
]
}
]
}
```
------