Solución de problemas de Lake Formation - AWS Lake Formation
Solución de problemas generalesSolución de problemas de acceso entre cuentasSolución de problemas de esquemas y flujos de trabajo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solución de problemas de Lake Formation

Si le surgen problemas al trabajar con AWS Lake Formation, consulte los temas de esta sección.

Temas

Solución de problemas generales

Utilice esta información para diagnosticar y solucionar diversos problemas de Lake Formation.

Error: permisos insuficientes para Lake Formation en <ubicación de Amazon S3>.

Se ha intentado crear o modificar un recurso del Catálogo de datos sin permisos de ubicación de datos en la ubicación de Amazon S3 a la que apunta el recurso.

Si una base de datos o tabla del Catálogo de datos apunta a una ubicación de Amazon S3, cuando conceda los permisos Lake Formation CREATE_TABLE o ALTER, también deberá conceder el permiso DATA_LOCATION_ACCESS en la ubicación. Si concede estos permisos a cuentas externas o a organizaciones, debe incluir la opción de concesión.

Una vez concedidos estos permisos a una cuenta externa, el administrador del lago de datos de dicha cuenta deberá conceder los permisos a las entidades principales (usuarios o roles) de la cuenta. Al conceder el permiso que DATA_LOCATION_ACCESS se recibió de otra cuenta, debe especificar el ID del catálogo (ID de cuenta AWS) de la cuenta propietaria. La cuenta propietaria es la cuenta que registró la ubicación.

Para obtener más información, consulte Control de acceso a los datos subyacentes y Conceder permisos de ubicación de datos.

Error: "Permisos de clave de cifrado insuficientes para la API Glue"

Se ha intentado conceder permisos de Lake Formation sin permisos AWS Identity and Access Management (IAM) sobre la clave de cifrado AWS KMS para un Catálogo de datos cifrado.

Mi consulta Amazon Athena o la de Amazon Redshift que usa manifiestos está fallando

Lake Formation no es compatible con las consultas que utilizan manifiestos.

Error: "Permiso(s) de Lake Formation insuficientes: se requiere crear etiqueta en el catálogo"

El usuario o rol debe ser administrador del lago de datos.

Error al eliminar administradores de lagos de datos no válidos

Debe eliminar todos los administradores de lagos de datos no válidos (funciones de IAM eliminadas que se definen como administradores de lagos de datos) simultáneamente. Si intenta eliminar administradores de lagos de datos no válidos por separado, Lake Formation da un error de entidad principal no válida.

Solución de problemas de acceso entre cuentas

Utilice esta información para diagnosticar y solucionar los problemas de acceso entre cuentas.

He concedido un permiso entre cuentas Lake Formation pero el destinatario no puede ver el recurso

  • ¿Es el usuario de la cuenta de destinatario administrador del lago de datos? Solo los administradores del lago de datos pueden ver el recurso en el momento del uso compartido.

  • ¿Está compartiendo con una cuenta externa a su organización utilizando el método de recursos con nombre? Si es así, el administrador del lago de datos de la cuenta receptora debe aceptar una invitación para compartir recursos en AWS Resource Access Manager (AWS RAM).

    Para obtener más información, consulte Aceptar una invitación para compartir recursos de AWS RAM.

  • ¿Está utilizando políticas de recursos a nivel de cuenta (Catálogo de datos) en AWS Glue? En caso afirmativo, si utiliza el método de recursos con nombre, deberá incluir una instrucción especial en la política que autorice a AWS RAM a compartir políticas en su nombre.

    Para obtener más información, consulte Administración de los permisos entre cuentas mediante AWS Glue y Lake Formation.

  • ¿Dispone de los permisos AWS Identity and Access Management (IAM) necesarios para conceder el acceso entre cuentas?

    Para obtener más información, consulte Requisitos previos.

  • El recurso sobre el que ha concedido permisos no debe tener ningún permiso de Lake Formation concedido al grupo IAMAllowedPrincipals.

  • ¿Existe alguna instrucción deny sobre el recurso en la política a nivel de cuenta?

Las entidades principales de la cuenta de destinatario pueden ver el recurso del Catálogo de datos pero no pueden acceder a los datos subyacentes

Las entidades principales de la cuenta de destinatario deben tener los permisos requeridos AWS Identity and Access Management (IAM). Para obtener más información, consulte Acceso a los datos subyacentes de una tabla compartida.

Error: "Ha fallado la asociación porque el comunicante no estaba autorizado" al aceptar una invitación para compartir un recurso AWS RAM

Tras conceder acceso a un recurso a una cuenta diferente, cuando la cuenta receptora intenta aceptar la invitación a compartir el recurso, la acción falla. 

$ aws ram get-resource-share-associations --association-type PRINCIPAL --resource-share-arns arn:aws:ram:aws-region:444444444444:resource-share/e1d1f4ba-xxxx-xxxx-xxxx-xxxxxxxx5d8d
{
    "resourceShareAssociations": [
        {
            "resourceShareArn": "arn:aws:ram:aws-region:444444444444:resource-share/e1d1f4ba-xxxx-xxxx-xxxx-xxxxxxxx5d8d
",
            "resourceShareName": "LakeFormation-MMCC0XQBH3Y",
            "associatedEntity": "5815803XXXXX",
            "associationType": "PRINCIPAL",
            "status": "FAILED",
            "statusMessage": "Association failed because the caller was not authorized.",
            "creationTime": "2021-07-12T02:20:10.267000+00:00",
            "lastUpdatedTime": "2021-07-12T02:20:51.830000+00:00",
            "external": true
        }
    ]
}

El error se produce porque el glue:PutResourcePolicy es invocado por AWS Glue cuando la cuenta receptora acepta la invitación a compartir recursos. Para resolver el problema, permita la acción glue:PutResourcePolicy mediante el rol asumido utilizado por la cuenta del productor/concedente.

Error: “No está autorizado a conceder permisos para el recurso”

Se ha intentado conceder permisos entre cuentas en una base de datos o tabla que es propiedad de otra cuenta. Cuando una base de datos o una tabla se comparte con su cuenta, como administrador del lago de datos, puede conceder permisos sobre ella solo a los usuarios de su cuenta.

Error: “Acceso denegado para recuperar la información de la organización AWS“

Su cuenta es una cuenta de administración de organizaciones de AWS y no dispone de los permisos necesarios para recuperar información de la organización, como las unidades organizativas de la cuenta.

Para obtener más información, consulte Required permissions for cross-account grants.

Error: "Organización <organization-ID> no encontrada"

Se ha intentado compartir un recurso con una organización, pero el uso compartido con organizaciones no está habilitado. Habilite el uso compartido de recursos con organizaciones.

Para obtener más información, consulte Habilitar el uso compartido con AWS Organizations en la Guía del usuario de AWS RAM.

Error: "Permisos de Lake Formation insuficientes: combinación ilegal"

Un usuario compartió un recurso del Catálogo de datos mientras que los permisos de Lake Formation se concedieron al grupo IAMAllowedPrincipals para el recurso. El usuario debe revocar todos los permisos de Lake Formation de IAMAllowedPrincipals antes de compartir el recurso.

ConcurrentModificationException en solicitudes de concesión/revocación a cuentas externas

Cuando los usuarios realizan múltiples solicitudes concurrentes de concesión y/o revocación de permisos para una entidad principal en las políticas de etiquetas LF, Lake Formation lanza ConcurrentModificationException. Los usuarios deben captar la excepción y volver a intentar la solicitud de concesión/revocación fallida. El uso de las versiones por lotes de las operaciones de la API GrantPermissions/RevokePermissions - BatchGrantPermissionsy BatchRevokePermissions alivia en cierta medida este problema al reducir el número de solicitudes concurrentes de concesión/revocación.

Error al utilizar Amazon EMR para acceder a datos compartidos entre cuentas

Al usar Amazon EMR para acceder a los datos compartidos desde otra cuenta, algunas bibliotecas de Spark intentarán llamar a la operación de la API Glue:GetUserDefinedFunctions. Como las versiones 1 y 2 de los permisos administrados de AWS RAM no admiten esta acción, obtiene el siguiente mensaje de error:

"ERROR: User: arn:aws:sts::012345678901:assumed-role/my-spark-role/i-06ab8c2b59299508a is not authorized to perform: glue:GetUserDefinedFunctions on resource: arn:exampleCatalogResource because no resource-based policy allows the glue:GetUserDefinedFunctions action"

Para resolver este error, el administrador del lago de datos que creó el recurso compartido debe actualizar los permisos administrados de AWS RAM asociados al recurso compartido. La versión 3 de los permisos administrados de AWS RAM permite a las entidades principales llevar a cabo la acción glue:GetUserDefinedFunctions.

Si crea un nuevo recurso compartido, Lake Formation aplica la última versión del permiso administrado por AWS RAM de forma predeterminada y no es necesario que haga nada. Para habilitar el acceso a los datos entre cuentas para los recursos compartidos existentes, debe actualizar los permisos administrados de AWS RAM a la versión 3.

Puede ver los permisos de AWS RAM asignados a los recursos compartidos en AWS RAM. Los siguientes permisos se incluyen en la versión 3:

Databases
  AWSRAMPermissionGlueDatabaseReadWriteForCatalog 
  AWSRAMPermissionGlueDatabaseReadWrite
    
Tables
  AWSRAMPermissionGlueTableReadWriteForCatalog
  AWSRAMPermissionGlueTableReadWriteForDatabase
    
AllTables
  AWSRAMPermissionGlueAllTablesReadWriteForCatalog
  AWSRAMPermissionGlueAllTablesReadWriteForDatabase
Para actualizar la versión de los permisos administrados de AWS RAM de los recursos compartidos existentes

Como administrador del lago de datos, puede actualizar los permisos administrados de AWS RAM a una versión más reciente. Para ello, siga las instrucciones de la Guía del usuario de AWS RAM o revoque todos los permisos existentes para el tipo de recurso y vuelva a concederlos. Si revoca los permisos, AWS RAM elimina el recurso compartido de AWS RAM asociado al tipo de recurso. Al volver a conceder los permisos, AWS RAM adjunta la versión más reciente de los permisos administrados de AWS RAM para crear nuevos recursos compartidos.

Solución de problemas de esquemas y flujos de trabajo

Utilice esta información para diagnosticar y solucionar problemas de esquemas y flujos de trabajo.

Mi esquema falló con "Usuario: <usuario-ARN> no está autorizado para: iam:PassRole en recurso: <rol-ARN>"

Se ha intentado crear un esquema por parte de un usuario que no tiene permisos suficientes para pasar el rol elegido.

Actualice la política de IAM del usuario para poder pasar el rol, o pídale que elija un rol diferente con los permisos necesarios para pasar el rol.

Para obtener más información, consulte Personas de Lake Formation y referencia de permisos IAM.

Mi flujo de trabajo ha fallado con " Usuario: <usuario-ARN> no está autorizado para ejecutar: iam:PassRole en el recurso: <rol-ARN>"

El rol que especificó para el flujo de trabajo no tenía una política en línea que permitiera que el rol se pasara a sí mismo.

Para obtener más información, consulte (Opcional) Crear un rol de IAM para flujos de trabajo.

Un rastreador en mi flujo de trabajo falló con "El recurso no existe o el solicitante no está autorizado para acceder a los permisos solicitados"

Una posible causa es que el rol pasado no tenía permisos suficientes para crear una tabla en la base de datos de destino. Concede al rol el permiso CREATE_TABLE sobre la base de datos.

Un rastreador en mi flujo de trabajo falló con "Se produjo un error (AccessDeniedException) al llamar a la operación CreateTable..."

Una posible causa es que el rol de flujo de trabajo no tuviera permisos de ubicación de datos en el almacén de destino. Conceda permisos de ubicación de datos al rol.

Para obtener más información, consulte DATA_LOCATION_ACCESS.