Langkah 3: Lampirkan kebijakan ke pengguna atau grup yang mengakses AWS Glue - AWS Glue

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 3: Lampirkan kebijakan ke pengguna atau grup yang mengakses AWS Glue

Administrator harus menetapkan izin untuk setiap pengguna, grup, atau peran menggunakan AWS Glue konsol atau AWS Command Line Interface (AWS CLI). Anda memberikan izin tersebut dengan menggunakan AWS Identity and Access Management (IAM), melalui kebijakan. Langkah ini menjelaskan penetapan izin kepada pengguna atau grup.

Ketika Anda menyelesaikan langkah ini, pengguna atau grup Anda memiliki kebijakan berikut yang dilampirkan:

  • Kebijakan AWS terkelola AWSGlueConsoleFullAccess atau kebijakan kustom GlueConsoleAccessPolicy

  • AWSGlueConsoleSageMakerNotebookFullAccess

  • CloudWatchLogsReadOnlyAccess

  • AWSCloudFormationReadOnlyAccess

  • AmazonAthenaFullAccess

Untuk melampirkan kebijakan inline dan menyematkannya di pengguna atau grup

Anda dapat melampirkan kebijakan AWS terkelola atau kebijakan sebaris ke pengguna atau grup untuk mengakses AWS Glue konsol. Beberapa sumber daya yang ditentukan dalam kebijakan ini merujuk ke nama default yang digunakan oleh AWS Glue untuk bucket Amazon S3, ETL skrip Amazon S3, Log CloudWatch , dan sumber daya Amazon. AWS CloudFormation EC2 Untuk kesederhanaan, AWS Glue menulis beberapa objek Amazon S3 ke dalam bucket di akun Anda yang diawali secara default. aws-glue-*

catatan

Anda dapat melewati langkah ini jika menggunakan kebijakan AWS terkelola AWSGlueConsoleFullAccess.

penting

AWS Glue membutuhkan izin untuk mengambil peran yang digunakan untuk melakukan pekerjaan atas nama Anda. Untuk mencapai hal ini, Anda menambahkan iam:PassRole izin ke AWS Glue pengguna atau grup. Kebijakan ini memberikan izin untuk peran yang dimulai dengan AWSGlueServiceRole AWS Glue peran layanan, dan AWSGlueServiceNotebookRole untuk peran yang diperlukan saat Anda membuat server notebook. Anda juga dapat membuat kebijakan Anda sendiri untuk izin iam:PassRole yang mengikuti konvensi penamaan Anda.

Sesuai praktik terbaik keamanan, disarankan untuk membatasi akses dengan memperketat kebijakan untuk lebih membatasi akses ke bucket dan grup log Amazon S3. Amazon CloudWatch Misalnya kebijakan Amazon S3, lihat IAMKebijakan Penulisan: Cara Memberikan Akses ke Bucket Amazon S3.

Pada langkah ini, Anda membuat sebuah kebijakan yang mirip dengan AWSGlueConsoleFullAccess. Anda dapat menemukan versi terbaru AWSGlueConsoleFullAccess di IAM konsol.

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Pengguna atau Grup pengguna.

  3. Dalam daftar, pilih nama pengguna atau grup untuk menyematkan kebijakan.

  4. Pilih tab Izin dan, jika diperlukan, perluas bagian Kebijakan izin.

  5. Pilih tautan Tambahkan kebijakan inline.

  6. Di layar Buat Kebijakan, arahkan ke tab untuk mengeditJSON. Buat dokumen kebijakan dengan JSON pernyataan berikut, lalu pilih Kebijakan tinjauan.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:*", "redshift:DescribeClusters", "redshift:DescribeClusterSubnetGroups", "iam:ListRoles", "iam:ListUsers", "iam:ListGroups", "iam:ListRolePolicies", "iam:GetRole", "iam:GetRolePolicy", "iam:ListAttachedRolePolicies", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeRouteTables", "ec2:DescribeVpcAttribute", "ec2:DescribeKeyPairs", "ec2:DescribeInstances", "rds:DescribeDBInstances", "rds:DescribeDBClusters", "rds:DescribeDBSubnetGroups", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetBucketAcl", "s3:GetBucketLocation", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "dynamodb:ListTables", "kms:ListAliases", "kms:DescribeKey", "cloudwatch:GetMetricData", "cloudwatch:ListDashboards" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::*/*aws-glue-*/*", "arn:aws:s3:::aws-glue-*" ] }, { "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::aws-glue-*" ] }, { "Effect": "Allow", "Action": [ "logs:GetLogEvents" ], "Resource": [ "arn:aws:logs:*:*:/aws-glue/*" ] }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack" ], "Resource": "arn:aws:cloudformation:*:*:stack/aws-glue*/*" }, { "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:key-pair/*", "arn:aws:ec2:*:*:image/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:volume/*" ] }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/AWSGlueServiceRole*", "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/AWSGlueServiceNotebookRole*", "Condition": { "StringLike": { "iam:PassedToService": [ "ec2.amazonaws.com" ] } } }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/service-role/AWSGlueServiceRole*" ], "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } } ] }

    Tabel berikut menjelaskan izin yang diberikan oleh kebijakan ini.

    Tindakan Sumber Daya Deskripsi

    "glue:*"

    "*"

    Memberikan izin untuk menjalankan semua AWS Glue APIoperasi.

    Jika sebelumnya Anda telah membuat kebijakan Anda tanpa tindakan "glue:*", maka Anda harus menambahkan izin individu berikut ke kebijakan Anda:

    • “lem:ListCrawlers”

    • “lem:BatchGetCrawlers”

    • “lem:ListTriggers”

    • “lem:BatchGetTriggers”

    • “lem:ListDevEndpoints”

    • “lem:BatchGetDevEndpoints”

    • “lem:ListJobs”

    • “lem:BatchGetJobs”

    "redshift:DescribeClusters", "redshift:DescribeClusterSubnetGroups"

    "*"

    Memungkinkan pembuatan koneksi ke Amazon Redshift.

    "iam:ListRoles", "iam:ListRolePolicies", "iam:GetRole", "iam:GetRolePolicy", "iam:ListAttachedRolePolicies"

    "*"

    Memungkinkan daftar IAM peran saat bekerja dengan crawler, pekerjaan, titik akhir pengembangan, dan server notebook.

    "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeRouteTables", "ec2:DescribeVpcAttribute", "ec2:DescribeKeyPairs", "ec2:DescribeInstances"

    "*"

    Mengizinkan penyiapan item EC2 jaringan Amazon, sepertiVPCs, saat menjalankan pekerjaan, crawler, dan titik akhir pengembangan.

    "rds:DescribeDBInstances"

    "*"

    Memungkinkan pembuatan koneksi ke AmazonRDS.

    "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetBucketAcl", "s3:GetBucketLocation"

    "*"

    Memungkinkan pencantuman bucket Amazon S3 saat bekerja dengan crawler, tugas, titik akhir pengembangan, dan server notebook.

    "dynamodb:ListTables"

    "*"

    Memungkinkan pencantuman tabel DynamoDB.

    "kms:ListAliases", "kms:DescribeKey"

    "*"

    Memungkinkan bekerja dengan KMS kunci.

    "cloudwatch:GetMetricData", "cloudwatch:ListDashboards"

    "*"

    Memungkinkan bekerja dengan CloudWatch metrik.

    "s3:GetObject", "s3:PutObject"

    "arn:aws:s3::: aws-glue-*/*", "arn:aws:s3::: */*aws-glue-*/*", "arn:aws:s3::: aws-glue-*"

    Memungkinkan mendapatkan dan menempatkan objek Amazon S3 ke akun Anda saat menyimpan objek seperti ETL skrip dan lokasi server notebook.

    Konvensi penamaan: Pemberian izin untuk bucket Amazon S3 atau folder yang namanya menggunakan prefiks aws-glue-.

    "tag:GetResources"

    "*"

    Memungkinkan pengambilan AWS tag.

    "s3:CreateBucket", "s3:PutBucketPublicAccessBlock"

    "arn:aws:s3::: aws-glue-*"

    Memungkinkan pembuatan bucket Amazon S3 ke akun Anda saat menyimpan objek seperti ETL skrip dan lokasi server notebook.

    Konvensi penamaan: Pemberian izin untuk bucket Amazon S3 yang namanya menggunakan prefiks aws-glue-.

    Memungkinkan AWS Glue untuk membuat bucket yang memblokir akses publik.

    "logs:GetLogEvents"

    "arn:aws:logs:*:*: /aws-glue/*"

    Memungkinkan pengambilan CloudWatch Log.

    Konvensi penamaan: AWS Glue menulis log ke grup log yang namanya dimulai dengan aws-glue-.

    "cloudformation:CreateStack", "cloudformation:DeleteStack"

    "arn:aws:cloudformation:*:*:stack/ aws-glue*/*"

    Memungkinkan mengelola AWS CloudFormation tumpukan saat bekerja dengan server notebook.

    Konvensi penamaan: AWS Glue menciptakan tumpukan yang namanya dimulai dengan aws-glue.

    "ec2:RunInstances"

    "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:key-pair/*", "arn:aws:ec2:*:*:image/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:volume/*"

    Memungkinkan untuk menjalankan titik akhir pengembangan dan server notebook.

    "iam:PassRole"

    "arn:aws:iam::*:role/ AWSGlueServiceRole*"

    Memungkinkan AWS Glue untuk mengambil PassRole izin untuk peran yang dimulai denganAWSGlueServiceRole.

    "iam:PassRole"

    "arn:aws:iam::*:role/ AWSGlueServiceNotebookRole*"

    Memungkinkan Amazon EC2 untuk mengambil PassRole izin untuk peran yang dimulai denganAWSGlueServiceNotebookRole.

    "iam:PassRole"

    "arn:aws:iam::*:role/service-role/ AWSGlueServiceRole*"

    Memungkinkan AWS Glue untuk mengambil PassRole izin untuk peran yang dimulai denganservice-role/AWSGlueServiceRole.

  7. Di layar Kebijakan tinjauan, masukkan nama untuk kebijakan tersebut, misalnya GlueConsoleAccessPolicy. Jika Anda puas dengan kebijakan ini, pilih Buat kebijakan. Pastikan bahwa tidak ada kesalahan yang muncul di kotak merah yang ada di bagian atas layar. Perbaiki apapun yang dilaporkan.

    catatan

    Jika Gunakan pemformatan otomatis dipilih, maka kebijakan akan diformat ulang setiap kali Anda membuka kebijakan atau memilih Validasi kebijakan.

Untuk melampirkan kebijakan AWSGlueConsoleFullAccess terkelola

Anda dapat melampirkan AWSGlueConsoleFullAccess kebijakan untuk memberikan izin yang diperlukan oleh AWS Glue pengguna konsol.

catatan

Anda dapat melewati langkah ini jika Anda membuat kebijakan sendiri untuk AWS Glue akses konsol.

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Kebijakan.

  3. Dalam daftar kebijakan, pilih kotak centang di sebelah AWSGlueConsoleFullAccess. Anda bisa memakai menu Filter dan kotak pencarian untuk mem-filter daftar kebijakan.

  4. Pilih Tindakan kebijakan, lalu pilih Lampirkan.

  5. Pilih pengguna untuk dilampiri kebijakan ini. Anda bisa menggunakan menu Filter dan kotak pencarian untuk mem-filter daftar entitas utama. Setelah memilih pengguna yang akan dilampiri kebijakan, pilih Lampirkan kebijakan.

Untuk melampirkan kebijakan AWSGlueConsoleSageMakerNotebookFullAccess terkelola

Anda dapat melampirkan AWSGlueConsoleSageMakerNotebookFullAccess kebijakan ke pengguna untuk mengelola notebook SageMaker AI yang dibuat di AWS Glue konsol. Selain lainnya yang diperlukan AWS Glue izin konsol, kebijakan ini memberikan akses ke sumber daya yang diperlukan untuk mengelola notebook SageMaker AI.

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Kebijakan.

  3. Dalam daftar kebijakan, pilih kotak centang di sebelah AWSGlueConsoleSageMakerNotebookFullAccess. Anda bisa memakai menu Filter dan kotak pencarian untuk mem-filter daftar kebijakan.

  4. Pilih Tindakan kebijakan, lalu pilih Lampirkan.

  5. Pilih pengguna untuk dilampiri kebijakan ini. Anda bisa menggunakan menu Filter dan kotak pencarian untuk mem-filter daftar entitas utama. Setelah memilih pengguna yang akan dilampiri kebijakan, pilih Lampirkan kebijakan.

Untuk melampirkan kebijakan CloudWatchLogsReadOnlyAccess terkelola

Anda dapat melampirkan CloudWatchLogsReadOnlyAccesskebijakan ke pengguna untuk melihat log yang dibuat oleh AWS Glue di konsol CloudWatch Log.

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Kebijakan.

  3. Dalam daftar kebijakan, pilih kotak centang di sebelah CloudWatchLogsReadOnlyAccess. Anda bisa memakai menu Filter dan kotak pencarian untuk mem-filter daftar kebijakan.

  4. Pilih Tindakan kebijakan, lalu pilih Lampirkan.

  5. Pilih pengguna untuk dilampiri kebijakan ini. Anda bisa menggunakan menu Filter dan kotak pencarian untuk mem-filter daftar entitas utama. Setelah memilih pengguna yang akan dilampiri kebijakan, pilih Lampirkan kebijakan.

Untuk melampirkan kebijakan AWSCloudFormationReadOnlyAccess terkelola

Anda dapat melampirkan AWSCloudFormationReadOnlyAccesskebijakan ke pengguna untuk melihat AWS CloudFormation tumpukan yang digunakan oleh AWS Glue di AWS CloudFormation konsol.

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Kebijakan.

  3. Dalam daftar kebijakan, pilih kotak centang di sebelah AWSCloudFormationReadOnlyAccess. Anda bisa memakai menu Filter dan kotak pencarian untuk mem-filter daftar kebijakan.

  4. Pilih Tindakan kebijakan, lalu pilih Lampirkan.

  5. Pilih pengguna untuk dilampiri kebijakan ini. Anda bisa menggunakan menu Filter dan kotak pencarian untuk mem-filter daftar entitas utama. Setelah memilih pengguna yang akan dilampiri kebijakan, pilih Lampirkan kebijakan.

Untuk melampirkan kebijakan AmazonAthenaFullAccess terkelola

Anda dapat melampirkan AmazonAthenaFullAccesskebijakan ke pengguna untuk melihat data Amazon S3 di konsol Athena.

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Kebijakan.

  3. Dalam daftar kebijakan, pilih kotak centang di sebelah AmazonAthenaFullAccess. Anda bisa memakai menu Filter dan kotak pencarian untuk mem-filter daftar kebijakan.

  4. Pilih Tindakan kebijakan, lalu pilih Lampirkan.

  5. Pilih pengguna untuk dilampiri kebijakan ini. Anda bisa menggunakan menu Filter dan kotak pencarian untuk mem-filter daftar entitas utama. Setelah memilih pengguna yang akan dilampiri kebijakan, pilih Lampirkan kebijakan.