質問編集履歴

追記

2022/03/04 06:35

投稿

katahik

スコア79

test CHANGED Viewed

File without changes

test CHANGED Viewed

@@ -64,3 +64,64 @@
 #### AWS Lake Formation > Databases > db_sample_for_athena
 db_sample_for_athena
 ![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2022-03-04/d1b289d7-5f73-4fee-b2fd-5daeb0489690.png)
+## 3月4日15時40分追記
+エラーコード
+```
+"errorCode":"AccessDenied",
+"errorMessage":"User: arn:aws:sts::アカウントID:assumed-role/AWSServiceRoleForLakeFormationDataAccess/AWSLF-00-AT-アカウントID-OSSm3ywcAP is not authorized to perform: kms:Decrypt on resource: arn:aws:kms:ap-northeast-1:アカウントID:key/○○ because no resource-based policy allows the kms:Decrypt action"
+```
+クローラのサービスロールに AWSServiceRoleForLakeFormationDataAccessを設定しています
+![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2022-03-04/f899d51d-22b9-4752-9b7c-8878839ccc2e.png)
+このロールに許可しているポリシーは以下のとおりです
+![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2022-03-04/5c28e800-e78a-4413-a373-4c110544c3db.png)
+kms-decrypt-policy
+```
+{
+    "Version": "2012-10-17",
+    "Statement": [
+        {
+            "Sid": "VisualEditor0",
+            "Effect": "Allow",
+            "Action": "kms:Decrypt",
+            "Resource": "*"
+        }
+    ]
+}
+```
+LakeFormationGetPolicy
+```
+{
+    "Version": "2012-10-17",
+    "Statement": [
+        {
+            "Sid": "VisualEditor0",
+            "Effect": "Allow",
+            "Action": [
+                "lakeformation:GetResourceLFTags",
+                "lakeformation:GetDataAccess",
+                "lakeformation:ListLFTags",
+                "lakeformation:GetLFTag"
+            ],
+            "Resource": "*"
+        }
+    ]
+}
+```

AWS(Amazon Web Services)

追記

2022/03/03 23:09

投稿

katahik

スコア79

test CHANGED Viewed

File without changes

test CHANGED Viewed

@@ -49,3 +49,18 @@
 	]
 }
 ```
+## 3月4日8時10分追記
+#### LF-Tags
+![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2022-03-04/bd1008c5-324c-47c5-bfcf-93098f56df3e.png)
+#### AWS Lake Formation > Grant permissions > Grant data permissions
+![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2022-03-04/91174686-d60d-4070-9567-94f11a10913c.png)
+![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2022-03-04/31600ba0-5721-44e2-9c6e-d340f2543fbc.png)
+#### AWS Lake Formation > Databases > db_sample_for_athena
+db_sample_for_athena
+![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2022-03-04/d1b289d7-5f73-4fee-b2fd-5daeb0489690.png)

AWS(Amazon Web Services)

追記

2022/03/03 10:32

投稿

katahik

スコア79

test CHANGED Viewed

File without changes

test CHANGED Viewed

@@ -21,7 +21,31 @@
 アタッチ済のポリシー
 AmazonAthenaFullAccess
 AmazonS3FullAccess
+KMSFullAccessPolicyを作成してアタッチ
 #### Lake Formation > Permissions
 ![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2022-03-03/6c8b3728-7317-43ee-bfc6-4968d3fc144d.png)
+#### クロスアカウントクエリに必要なアクセス許可を持つ Amazon S3 バケットポリシーをアタッチ済
+```
+{
+	"Version": "2012-10-17",
+	"Statement": [
+        {
+            "Sid": "Stmt1620692932186",
+            "Effect": "Allow",
+            "Principal": {
+                "AWS": "arn:aws:iam::○○:user/datalake_user"
+            },
+            "Action": [
+                "s3:*"
+            ],
+            "Resource": [
+                "arn:aws:s3:::○○",
+                "arn:aws:s3:::○○/○○/○○/*"
+            ]
+        }
+	]
+}
+```

AWS(Amazon Web Services)

追記

2022/03/03 07:12

投稿

katahik

スコア79

test CHANGED Viewed

File without changes

test CHANGED Viewed

@@ -1,5 +1,7 @@
 ## 実現したいこと
 AWS AthenaでSELECT文を実行したいのですが、下記エラーが出ています。
+Glueのクロールは成功して、DBは作成しています。
+また、DDLを表示することもできています。
 なにか気づいた点がありましたら、教えていただければ幸いです。
 ```
 SELECT * FROM "DB名"."テーブル名" limit 10;

AWS(Amazon Web Services)