Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post

Come posso risolvere gli errori di autorizzazione di Lake Formation in AWS Glue?

3 minuti di lettura
0

Il mio processo ETL o crawler di AWS Glue restituisce un errore di autorizzazione di AWS Lake Formation. L'errore si verifica anche se ho configurato le autorizzazioni AWS Identity and Access Management (IAM) richieste.

Risoluzione

Gli errori di autorizzazione più comuni includono autorizzazioni predefinite insufficienti o autorizzazioni insufficienti per concedere autorizzazioni ad altri utenti.

Autorizzazioni predefinite insufficienti

È necessario fornire le autorizzazioni sul database predefinito per il ruolo che tenta di interrogare la tabella. Se mancano queste autorizzazioni, Lake Formation genera un'eccezione simile alla seguente:

"AnalysisException: Unable to verify existence of default database: com.amazonaws.services.glue.model.AccessDeniedException: Insufficient Lake Formation permission(s) on default"

Per concedere le autorizzazioni predefinite:

  1. Accedi alla tua console Lake Formation come amministratore del data lake.
  2. Nel pannello sinistro, apri Autorizzazioni, Data lake permissions (Autorizzazioni del data lake), quindi scegli Concedi.
  3. Nella pagina Grant data lake permissions (Concedi autorizzazioni del data lake), in Principali, scegli la categoria principali del tuo processo Glue.
  4. In Utenti e ruoli IAM, seleziona uno o più ruoli IAM.
  5. In Tag LF o risorse del catalogo, scegli Named Data Catalog resources (Risorse del catalogo dati con nome), quindi, in Database, scegli Predefinito. Se non vedi un database predefinito, creane uno come descritto più avanti.
  6. Nella pagina Grant data lake permissions (Concedi autorizzazioni del data lake), in Autorizzazioni del database, per Autorizzazioni del database, seleziona Descrivi.
  7. Scegli il pulsante Concedi.
  8. Esegui nuovamente il processo in AWS Glue e verifica che il processo abbia esito positivo.

Per creare un database predefinito se non ne esiste già uno:

  1. Apri Administrative roles and tasks (Attività e ruoli amministrativi) e, in Database creators (Creatore di database) , scegli Concedi.
  2. Nella finestra di dialogo Concedi autorizzazioni, scegli il tuo ruolo Glue.
  3. In Autorizzazioni concedibili, seleziona l'autorizzazione Crea database per le autorizzazioni di accesso specifiche da concedere e scegli Concedi. Questo configura il ruolo IAM associato al processo di AWS Glue come creatore di database in Lake Formation. Lake Formation crea quindi automaticamente un database predefinito (se non è presente) e concede le autorizzazioni necessarie per il ruolo.
  4. Esegui il tuo processo in AWS Glue e verifica che abbia esito positivo.

Autorizzazioni insufficienti per concedere autorizzazioni

È necessario disporre di autorizzazioni concedibili a una tabella AWS Glue quando si concedono autorizzazioni alla tabella. Ad esempio, per concedere autorizzazioni tramite un modello CloudFormation o una pipeline CI/CD, è necessario disporre di autorizzazioni concedibili. Se mancano autorizzazioni concedibili, Lake Formation genera un'eccezione come la seguente:

"Insufficient Glue permissions to access table test_table (Service: AWSLakeFormation; Status Code: 400; Error Code: AccessDeniedException;"

  1. Concedi le autorizzazioni concedibili alla tabella o al database per un utente o un ruolo con il metodo della risorsa con nome.
  2. Questo utente o ruolo può concedere autorizzazioni, ad esempio, tramite AWS CloudFormation o tramite una pipeline CICD, ad altri utenti o ruoli.

Informazioni correlate

Gestione delle autorizzazioni di Lake Formation

Registrazione di una posizione di Amazon S3

Argomenti
Analisi
Tag
AWS GlueAWS Lake Formation
Lingua
Italiano
AWS UFFICIALE
AWS UFFICIALEAggiornata 3 mesi fa

Contenuto pertinente