En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post
À propos de re:Post

Comment résoudre les problèmes d'autorisation de Lake Formation dans Athena ?

Lecture de 6 minute(s)
0

Ma requête Amazon Athena a échoué en raison des erreurs « Autorisations insuffisantes pour Lake Formation » ou « COLUMN_NOT_FOUND ».

Résolution

Suivez ces étapes de résolution de problèmes pour le message d’erreur que vous avez reçu.

Erreur « Autorisations insuffisantes pour Lake Formation sur Amazon_S3_location »

Cette erreur s’affiche lorsque les conditions suivantes sont remplies pour les utilisateurs ou les rôles AWS Identity and Access Management (IAM) :

  • L’utilisateur ou le rôle IAM ne dispose pas des autorisations de localisation des données Amazon Simple Storage Service (Amazon S3) appropriées auprès de Lake Formation.
  • L’utilisateur ou le rôle IAM essaie de créer ou de modifier une ressource du catalogue de données sur un compartiment Amazon S3 enregistré auprès d'AWS Lake Formation.

Pour résoudre cette erreur, vous devez accorder des autorisations de localisation des données à l’utilisateur ou au rôle IAM que vous utilisez pour créer la base de données ou la table. Lorsque vous utilisez Athena avec Lake Formation, veillez à accorder les autorisations S3 requises à l'utilisateur ou au rôle IAM depuis Lake Formation. Veillez également à accorder les autorisations d’accès aux données requises par l’utilisateur ou le rôle IAM.

Les autorisations d’accès aux données permettent à l’utilisateur ou au rôle IAM de lire et d’écrire des données sur l’emplacement Amazon S3. Cependant, les autorisations de localisation des données dans Lake Formation permettent à un utilisateur ou à un rôle IAM de créer et de modifier des ressources du catalogue de données. Les ressources du catalogue de données pointent vers l’emplacement Amazon S3 enregistré.

Vérifiez que l’emplacement du lac de données est enregistrée auprès de Lake Formation

  1. Ouvrez la console AWS Lake Formation.
  2. Dans le volet de navigation, sous Administration, choisissez Emplacement du lac de données.
  3. Dans Emplacements des lacs de données, vérifiez que le chemin S3 indiqué par les ressources du catalogue de données est enregistré auprès de Lake Formation.

Accordez des autorisations de localisation des données depuis la console AWS Lake Formation

  1. Dans le volet de navigation, choisissez Emplacements des données.
  2. Sélectionnez Grant.
  3. Dans la boîte de dialogue Accorder des autorisations, sélectionnez Mon compte.
  4. Pour utilisateurs et les rôles IAM, sélectionnez l'utilisateur ou le rôle IAM pour lequel vous souhaitez accorder des autorisations.
  5. Pour les Emplacements de stockage, sélectionnez le chemin S3 à partir duquel vous obtenez l’erreur.
  6. Choisissez Grant.

Remarque : Suivez ces étapes uniquement si le chemin S3 se trouve dans le même compte. Si le chemin S3 se trouve dans un autre compte, assurez-vous d'abord que toutes les conditions d'accès intercompte sont remplies. Suivez ensuite les instructions fournies dans la section Octroi d’autorisations de localisation des données (compte externe).

Pour plus d’informations, consultez la section Octroi d'autorisations de localisation des données (même compte).

Erreur « Autorisations insuffisantes pour Lake Formation sur la base de database_name »

Procédez comme suit pour accorder à l’utilisateur ou au rôle IAM l’autorisation d’accéder à la base de données.

  1. Ouvrez la console Lake Formation.
  2. Dans le volet de navigation, sélectionnez Bases de données.
  3. Choisissez le nom de votre base de données, choisissez Actions, puis choisissez Accorder.
  4. Dans Principals, sélectionnez Utilisateurs et rôles IAM.
  5. Pour les utilisateurs et les rôles IAM, choisissez l'utilisateur ou le rôle IAM que vous souhaitez autoriser à accéder à la base de données.
  6. Sous Tags LF ou ressources du catalogue, choisissez Ressources du catalogue de données nommées.
  7. Sous Autorisations de base de données, choisissez Décrire.
    Remarque :     Vous pouvez également ajouter des autorisations supplémentaires en fonction de votre cas d'utilisation.
  8. Choisissez Grant.

Erreur « Autorisations insuffisantes pour Lake Formation » : Obligatoire Créer une table sur database_name »

Suivez ces étapes pour accorder des autorisations IAM à la base de données.

  1. Ouvrez la console Lake Formation.
  2. Dans le volet de navigation, sous Autorisations, choisissez Autorisations du lac de données.
  3. Choisissez Grant.
  4. Dans Principals, sélectionnez Utilisateurs et rôles IAM.
  5. Pour les utilisateurs et les rôles IAM, choisissez l’utilisateur ou le rôle IAM que vous souhaitez utiliser pour Athena.
  6. Sous Tags LF ou ressources du catalogue, choisissez Ressources du catalogue de données nommées.
  7. Pour Bases de données, choisissez la base de données dans laquelle votre utilisateur ou votre rôle IAM écrit.
  8. Sous Autorisations de base de données, choisissez Créer une table ou Décrire en fonction de votre cas d’utilisation.
    Remarque : L’utilisateur ou le rôle IAM doit disposer à la fois des autorisations Décrire et Créer une table sur la base de données pour créer la table.
  9. Choisissez Grant.

Erreur « COLUMN_NOT_FOUND : ligne 1:8: SELECT \ * non autorisé à partir d'une relation qui ne comporte aucune colonne »

Suivez ces étapes pour vérifier les autorisations DESCRIBE sur la base de données. Vérifiez ensuite les autorisations DESCRIBE et SELECT dans le tableau.

Remarque : L’administrateur de Lake Formation peut voir la base de données et la table dans la console Athena, mais il a besoin des autorisations requises pour interroger les données.

Utiliser la méthode de ressource nommée pour accorder des autorisations de base de données

  1. Ouvrez la console Lake Formation.
  2. Dans le volet de navigation, sous Autorisations, choisissez Autorisations du lac de données.
  3. Choisissez Grant.
  4. Dans Principals, sélectionnez Utilisateurs et rôles IAM.
  5. Pour les utilisateurs et les rôles IAM, choisissez l’utilisateur ou le rôle IAM que vous souhaitez utiliser avec Athena.
  6. Sous Tags LF ou ressources du catalogue, choisissez Ressources du catalogue de données nommées.
  7. Pour Bases de données, choisissez la base de données pour votre table.
  8. Sous Autorisations de base de données, choisissez Décrire.
  9. Choisissez Grant.

Pour plus d’informations, consultez la section Octroi d’autorisations de base de données à l’aide de la méthode de ressource nommée.

Utiliser la méthode de ressource nommée pour accorder des autorisations sur les tables

  1. Ouvrez la console Lake Formation.
  2. Dans le volet de navigation, sous Autorisations, choisissez Autorisations du lac de données.
  3. Choisissez Grant.
  4. Dans Principals, sélectionnez Utilisateurs et rôles IAM.
  5. Pour les utilisateurs et les rôles IAM, choisissez l’utilisateur ou le rôle IAM que vous souhaitez utiliser avec Athena.
  6. Sous Tags LF ou ressources du catalogue, choisissez Ressources du catalogue de données nommées.
  7. Pour Bases de données, choisissez votre base de données.
  8. Pour Tables, choisissez une ou plusieurs tables, ou Toutes les tables.
  9. Sous Autorisations de la table, choisissez Sélectionner ou Décrire pour exécuter une requête SELECT, ou choisissez les autorisations de la table correspondant à votre cas d’utilisation.
  10. Choisissez Grant.

Remarque : Vous pouvez également accorder des autorisations sur une table via son lien de ressource. Pour ce faire, sur la page Tables, choisissez un lien vers une ressource, choisissez Actions, puis choisissez Octroi sur la cible. Pour plus d'informations, voir Comment fonctionnent les liens vers les ressources dans Lake Formation.

Informations connexes

Octroi d'autorisations de localisation des données

Sujets
Analytique
Balises
Amazon Athena
Langue
Français
AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an
Aucun commentaire

Contenus pertinents