Langkah 2: Buat IAM peran untuk AWS Glue - AWS Glue

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 2: Buat IAM peran untuk AWS Glue

Anda harus memberikan izin IAM peran yang AWS Glue dapat diasumsikan saat memanggil layanan lain atas nama Anda. Izin ini termasuk izin akses ke Amazon S3 untuk sumber, target, skrip, dan direktori sementara yang Anda gunakan dengan AWS Glue. Izin diperlukan oleh crawler, tugas, dan titik akhir pengembangan.

Anda memberikan izin tersebut dengan menggunakan AWS Identity and Access Management (IAM). Tambahkan kebijakan ke IAM peran yang Anda berikanAWS Glue.

Untuk membuat IAM peran untukAWS Glue
  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi sebelah kiri, pilih Peran.

  3. Pilih Buat peran.

  4. Pilih AWS layanan sebagai jenis entitas tepercaya. Kemudian, untuk layanan atau kasus penggunaan, temukan dan pilih AWS Glue. Pilih Berikutnya.

  5. Pada halaman Tambahkan izin, pilih kebijakan yang berisi izin yang diperlukan; misalnya, kebijakan terkelola untuk AWS Glue izin umum dan kebijakan AWS terkelola AmazonS3 AWSGlueServiceRole untuk akses FullAccess ke sumber daya Amazon S3. AWS Lalu pilih Berikutnya.

    catatan

    Pastikan bahwa salah satu kebijakan dalam peran ini memberikan izin ke sumber Amazon S3 dan target Anda. Anda mungkin ingin memberikan kebijakan Anda sendiri untuk akses ke sumber daya Amazon S3 tertentu. Sumber data memerlukan izin s3:ListBucket dan s3:GetObject. Target data memerlukan izin s3:ListBucket, s3:PutObject, dan s3:DeleteObject. Untuk informasi selengkapnya tentang membuat kebijakan Amazon S3 untuk sumber daya Anda, lihat Menentukan Sumber Daya dalam sebuah Kebijakan. Misalnya kebijakan Amazon S3, lihat IAMKebijakan Penulisan: Cara Memberikan Akses ke Bucket Amazon S3.

    Jika Anda berencana mengakses sumber dan target Amazon S3 yang dienkripsi dengan SSE -KMS, lampirkan kebijakan yang memungkinkan AWS Glue crawler, lowongan, dan titik akhir pengembangan untuk mendekripsi data. Untuk informasi selengkapnya, lihat Melindungi Data Menggunakan Enkripsi Sisi Server dengan AWS KMS-Kunci Terkelola (-). SSE KMS

    Berikut adalah contohnya.

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:*:account-id-without-hyphens:key/key-id" ] } ] }
  6. Beri nama peran Anda dan tambahkan deskripsi (opsional), lalu tinjau kebijakan kepercayaan dan izin. Untuk nama Peran, masukkan nama untuk peran Anda; misalnya,AWSGlueServiceRoleDefault. Buat peran dengan nama yang diawali dengan string AWSGlueServiceRole untuk memungkinkan peran diteruskan dari pengguna konsol ke layanan. AWS Gluekebijakan yang diberikan mengharapkan peran IAM layanan dimulaiAWSGlueServiceRole. Jika tidak, Anda harus menambahkan kebijakan untuk mengizinkan pengguna iam:PassRole izin IAM peran agar sesuai dengan konvensi penamaan Anda. Pilih Buat Peran.

    catatan

    Saat Anda membuat buku catatan dengan peran, peran tersebut kemudian diteruskan ke sesi interaktif sehingga peran yang sama dapat digunakan di kedua tempat. Dengan demikian, iam:PassRole izin harus menjadi bagian dari kebijakan peran.

    Buat kebijakan baru untuk peran Anda menggunakan contoh berikut. Ganti nomor akun dengan nomor Anda sendiri dan nama peran.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::090000000210:role/<role_name>" } ] }
  7. Tambahkan tag ke peran Anda (opsional). Tag adalah pasangan nilai kunci yang dapat Anda tambahkan ke AWS sumber daya untuk membantu mengidentifikasi, mengatur, atau mencari sumber daya. Kemudian, pilih Buat peran.