Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!
¿Cómo puedo solucionar los errores de permisos de Lake Formation en AWS Glue?
Mi rastreador o trabajo de ETL de AWS Glue falla debido a un error de permisos de AWS Lake Formation. El error se produce aunque haya configurado los permisos necesarios de AWS Identity and Access Management (IAM).
Resolución
Los errores de permisos más comunes incluyen permisos predeterminados insuficientes o permisos insuficientes para conceder permisos a otros usuarios.
Permisos predeterminados insuficientes
Debes proporcionar permisos en la base de datos predeterminada para el rol que intenta consultar la tabla. Si faltan estos permisos, Lake Formation genera una excepción similar a la siguiente:
«AnalysisException: Unable to verify existence of default database: com.amazonaws.services.glue.model.AccessDeniedException: Insufficient Lake Formation permission(s) on default»
Para conceder los permisos predeterminados:
- Inicia sesión en la consola de Lake Formation como administrador del lago de datos.
- En el panel izquierdo, abre Permisos, Permisos del lago de datos y, a continuación, selecciona Conceder.
- En la página Conceder permisos de lago de datos, en Entidades principales, elige la categoría de entidades principales del trabajo de Glue.
- En Usuarios y roles de IAM, selecciona uno o más roles de IAM.
- En Etiquetas LF o recursos de catálogo, elige Recursos de catálogo de datos con nombre y, a continuación, en Bases de datos, elige Predeterminada. Si no ves una base de datos predeterminada, crea una como se describe más adelante.
- En la página Conceder permisos de lago de datos, en Permisos de base de datos, para Permisos de base de datos, selecciona Describir.
- Selecciona el botón Conceder.
- Vuelve a ejecutar el trabajo en AWS Glue y comprueba que el trabajo se ha realizado correctamente.
Para crear una base de datos predeterminada, si aún no existe una:
- Abre Tareas y roles administrativos y, en Creadores de bases de datos, elige Conceder.
- En el cuadro de diálogo Conceder permisos, elige tu rol de Glue.
- En Permisos que se pueden conceder, selecciona el permiso Crear base de datos para los permisos de acceso específicos que va a conceder y elige Conceder. Esto configura el rol de IAM asociado al trabajo de AWS Glue como creador de bases de datos en Lake Formation. Luego, Lake Formation crea automáticamente una base de datos predeterminada (si no hay ninguna) y concede los permisos necesarios para el rol.
- Ejecuta el trabajo en AWS Glue y verifica que se realice correctamente.
Permisos insuficientes para conceder permisos
Debes tener permisos que se pueden conceder en una tabla de AWS Glue al conceder permisos a la tabla. Por ejemplo, para conceder permisos a través de una plantilla de CloudFormation o una canalización de CI/CD, debes tener permisos que se pueden conceder. Si faltan los permisos que se pueden conceder, Lake Formation genera una excepción como la siguiente:
«AccessDeniedException: An error occurred (AccessDeniedException) when calling the GrantPermissions operation: Resource does not exist or requester is not authorized to access requested permissions».
- Concede permisos que se puedan conceder a la tabla o base de datos para un usuario o rol con el método de recurso con nombre.
- Este usuario o rol puede conceder permisos, por ejemplo, a través de AWS CloudFormation o una canalización de CI/CD, a otros usuarios o roles.
Información relacionada
Contenido relevante
- preguntada hace 3 meses
- preguntada hace 2 meses
- preguntada hace 3 meses
- preguntada hace 3 meses
- OFICIAL DE AWSActualizada hace un año