Warum wird mir in Amazon Athena der Fehler „Unzureichende Lake-Formation-Berechtigungen für <Amazon S3 location>“ gemeldet, obwohl mein IAM-Benutzer oder meine IAM-Rolle über die erforderlichen S3-Berechtigungen verfügt?

Letzte Aktualisierung: 22.02.2022

Wenn ich versuche, mit dem bei AWS Lake Formation registrierten Speicherort aus dem Amazon Simple Storage Service (Amazon S3) eine Datenbank/Tabelle in Amazon Athena zu erstellen, ist die Abfrage mit der Fehlermeldung „Unzureichende Lake-Formation-Berechtigung(en) für “ nicht möglich. Der Benutzer oder die Rolle aus dem Athena AWS Identity and Access Management (IAM) verfügt jedoch über die erforderlichen IAM-Berechtigungen.

Lösung

Dieser Fehler wird angezeigt, wenn Folgendes zutrifft:

  • Der IAM-Benutzer oder die IAM-Rolle versucht, eine Data-Catalog-Ressource (Datenbank oder Tabelle) in einem bei Lake Formation registrierten Amazon S3-Bucket zu erstellen oder zu ändern.
  • Der IAM-Benutzer oder die IAM-Rolle verfügt nicht über die entsprechenden Berechtigungen von Lake Formation für den Datenspeicherort.

Zur Behebung dieses Fehlers müssen Sie dem IAM-Benutzer oder der IAM-Rolle, die Sie zum Erstellen der Datenbank oder Tabelle verwenden, entsprechende Berechtigungen für den Datenspeicherort erteilen. Wenn Sie Athena zusammen mit Lake Formation verwenden, müssen Sie dem IAM-Benutzer oder der IAM-Rolle zusätzlich zu den für den IAM-Benutzer oder die IAM-Rolle erforderlichen Datenzugriffsberechtigungen die nötigen S3-Berechtigungen von Lake Formation erteilen. Datenzugriffsberechtigungen ermöglichen dem IAM-Benutzer oder der IAM-Rolle das Lesen und Schreiben von Daten am zugrunde liegenden Amazon-S3-Speicherort. Berechtigungen für den Datenspeicherort in Lake Formation ermöglichen einem IAM-Benutzer oder einer IAM-Rolle jedoch die Erstellung und Änderung von Data-Catalog-Ressourcen, die auf den registrierten Amazon-S3-Speicherort verweisen.

Gehen Sie zur Behebung dieses Fehlers folgendermaßen vor:

  1. Stellen Sie sicher, dass der S3-Pfad in Athena erfolgreich bei Lake Formation registriert ist.
  2. Erteilen Sie dem IAM-Benutzer oder der IAM-Rolle die erforderlichen Datenspeicherortberechtigungen für den Zugriff auf den S3-Pfad

Überprüfen, ob der Data-Lake-Speicherort bei Lake Formation registriert ist

  1. Melden Sie sich mit der Data-Lake-Administratorrolle bei der AWS-Lake-Formation-Konsole an.
  2. Wählen Sie im Navigationsbereich unter Register and Ingest (Registrieren und aufnehmen) die Option Data Lake Locations (Data-Lake-Speicherorte) aus.
    Überprüfen Sie in der Liste Data Lake Locations, ob der S3-Pfad, auf den die Data-Catalog-Ressourcen verweisen, bei Lake Formation registriert ist.

Datenspeicherortberechtigungen über die AWS-Lake-Formation-Konsole erteilen

  1. Wählen Sie im Navigationsbereich Data locations (Datenspeicherorte) aus.
  2. Wählen Sie Grant (Gewähren).
  3. Wählen Sie im Dialogfeld Grant permissions (Berechtigungen erteilen) die Option My account (Mein Konto) aus.
  4. Wählen Sie für IAM users and roles den IAM-Benutzer oder die IAM-Rolle aus, für die Sie Berechtigungen erteilen möchten.
  5. Wählen Sie für Storage locations (Speicherorte) den S3-Pfad aus, von dem Sie den Fehler erhalten.
  6. Wählen Sie Grant (Gewähren) aus.

Hinweis: Befolgen Sie diese Schritte nur, wenn sich der S3-Pfad innerhalb desselben Kontos befindet. Wenn sich der S3-Pfad in einem anderen Konto befindet, stellen Sie sicher, dass alle kontoübergreifenden Zugriffsvoraussetzungen erfüllt sind. Befolgen Sie anschließend die Anweisungen unter Granting data location permissions (external account) (Datenspeicherortberechtigungen gewähren (externes Konto)).


War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?