查询OBS加密桶中的表时，报错“No privilege to this kms operation”

问题现象

如果存储表的路径为OBS加密桶，查询表时报错“No privilege to this kms operation”。

处理步骤

出现该问题需要新建自定义策略，并将其加入到“lakeformation_admin_trust”中。

1. 创建自定义策略。
   1. 登录IAM管理控制台。
   2. 在左侧导航栏中选择“权限管理 > 权限”，进入权限管理页面。
   3. 创建“lakeformation_kms_permission”策略。（如果已存在相同权限的策略，则可跳过该步骤）
      单击“创建自定义策略”，相关参数配置如下，配置完成后单击“确定”。

      • 策略名称：自定义策略名称，例如“lakeformation_kms_permission”
      • 策略配置方式：JSON视图
      • 策略内容：

        {
            "Version": "1.1",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": [
                        "kms:dek:encrypt",
                        "kms:cmk:create",
                        "kms:cmk:decrypt",
                        "kms:dek:create",
                        "kms:cmk:encrypt",
                        "kms:dek:crypto",
                        "kms:dek:decrypt"
                    ]
                }
            ]
        }

      • 策略描述：The necessary permissions for lakeformation service to access encrypted obs file system, KMS related permission.

2. 为lakeformation_admin_trust添加新创建的策略。
   1. 在IAM服务左侧导航栏中选择“委托”，搜索“lakeformation_admin_trust”，单击操作列“授权”，打开授权页面。

      

   2. 查找并勾选1创建的LakeFormation服务自定义的权限策略（例如名称为lakeformation_kms_permission），单击“下一步”。

      

   3. “设置最小授权范围”页面保持默认，单击“确定”，给委托完成授权。

      授权后，等待约15~30分钟，新增的委托权限即可生效。