Por que estou recebendo o erro “Permissões insuficientes do Lake Formation no <Amazon S3 location>” no Amazon Athena, se o meu usuário ou função do IAM possui as permissões necessárias no S3?

Última atualização: 22/02/2022

Ao tentar criar um banco de dados/tabela no Amazon Athena usando o local do Amazon Simple Storage Service (Amazon S3) registrado no AWS Lake Formation, a consulta retorna com o erro “Permissão(ões) insuficiente(s) do Lake Formation no ”. No entanto, o usuário ou a função do Athena AWS Identity and Access Management (IAM) tem as permissões de IAM necessárias.

Resolução

Esse erro é retornado quando as seguintes condições forem verdadeiras:

  • O usuário ou a função do IAM tenta criar ou alterar um recurso do catálogo de dados (banco de dados ou tabela) em um bucket do Amazon S3 registrado no Lake Formation.
  • O usuário ou a função do IAM não tem as permissões de localização de dados apropriadas no Lake Formation.

Para resolver esse erro, é necessário conceder permissões de localização de dados apropriadas ao usuário ou à função do IAM usada para criar o banco de dados ou a tabela. Ao usar o Athena com o Lake Formation, certifique-se de conceder as permissões necessárias do S3 ao usuário ou função do IAM do Lake Formation, além das permissões de acesso a dados exigidas pelo usuário ou função do IAM. As permissões de acesso a dados permitem que o usuário ou a função do IAM leia e grave dados no local subjacente do Amazon S3. No entanto, as permissões de localização de dados no Lake Formation permitem que um usuário ou uma função do IAM crie e altere recursos no Catálogo de dados que apontam para a localização registrada do Amazon S3.

Para resolver esse erro, faça o seguinte:

  1. Verifique se o caminho do S3 no Athena foi registrado com êxito no Lake Formation.
  2. Conceda as permissões de localização de dados necessárias ao usuário ou à função do IAM para acessar o caminho do S3.

Verifique se o local do data lake está registrado no Lake Formation

  1. Faça login no console do AWS Lake Formation com a função de administrador do data lake.
  2. No painel de navegação, em Register and ingest (Registrar e ingerir), escolha Data lake locations (Local do data lake).
    Na listagem de locais do data lake, verifique se o caminho do S3 apontado pelos recursos do Catálogo de dados está registrado no Lake Formation.

Conceder permissões de localização de dados do console do AWS Lake Formation

  1. No painel de navegação, escolha Localizações de dados.
  2. Selecione Conceder.
  3. Na caixa de diálogo Conceder permissões, selecione Minha conta.
  4. Para usuários e funções do IAM, selecione o usuário ou a função do IAM para o qual deseja conceder permissões.
  5. Para Locais de armazenamento, selecione o caminho do S3 do qual você está recebendo o erro.
  6. Escolha Conceder.

Observação: siga estas etapas somente se o caminho do S3 estiver na mesma conta. Se o caminho do S3 estiver em uma conta diferente, certifique-se de que todos os pré-requisitos de acesso entre contas sejam atendidos. Em seguida, siga as instruções fornecidas em Concedendo permissões de localização de dados (conta externa).


Este artigo ajudou?


Precisa de ajuda com faturamento ou suporte técnico?