Tinjau izin IAM yang diperlukan untuk pekerjaan ETL - AWS Glue

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tinjau izin IAM yang diperlukan untuk pekerjaan ETL

Saat Anda membuat pekerjaan menggunakanAWS Glue Studio, pekerjaan mengasumsikan izin peran IAM yang Anda tentukan saat Anda membuatnya. IAM role ini harus memiliki izin untuk mengekstrak data dari sumber data Anda, menulis data ke target Anda, dan mengakses sumber daya AWS Glue.

Nama peran yang Anda buat untuk pekerjaan harus dimulai dengan string AWSGlueServiceRole agar dapat digunakan dengan benarAWS Glue Studio. Misalnya, Anda dapat memberi nama peran dengan AWSGlueServiceRole-FlightDataJob.

Izin sumber data dan target data

AWS Glue StudioPekerjaan harus memiliki akses ke Amazon S3 untuk sumber, target, skrip, dan direktori sementara apa pun yang Anda gunakan dalam pekerjaan Anda. Anda dapat membuat sebuah kebijakan untuk memberikan akses terperinci ke sumber daya Amazon S3 tertentu.

  • Sumber data memerlukan izin s3:ListBucket dan s3:GetObject.

  • Target data memerlukan izin s3:ListBucket, s3:PutObject, dan s3:DeleteObject.

Jika Anda memilih Amazon Redshift sebagai sumber data, maka Anda dapat memberikan sebuah peran untuk izin klaster. Tugas yang berjalan pada klaster Amazon Redshift mengeluarkan perintah yang mengakses Amazon S3 untuk penyimpanan sementara menggunakan kredensial sementara. Jika tugas Anda berjalan selama lebih dari satu jam, maka kredensial ini akan kedaluwarsa dan akan menyebabkan tugas gagal. Untuk menghindari masalah ini, Anda dapat menetapkan sebuah peran untuk klaster Amazon Redshift itu sendiri yang memberikan izin yang diperlukan untuk tugas tersebut dengan menggunakan kredensial sementara. Untuk informasi selengkapnya, lihat Memindahkan Data ke dan dari Amazon Redshift di Panduan Developer AWS Glue.

Jika tugas tersebut menggunakan sumber data atau target selain Amazon S3, maka Anda harus melampirkan izin yang diperlukan kepada IAM role yang digunakan oleh tugas tersebut untuk mengakses sumber dan target data ini. Untuk informasi selengkapnya, lihat Menyiapkan Lingkungan Anda untuk Mengakses Penyimpanan Data di Panduan Developer AWS Glue.

Jika Anda menggunakan konektor dan koneksi untuk penyimpanan data Anda, maka Anda memerlukan izin tambahan, seperti yang dijelaskan di Izin diperlukan untuk menggunakan konektor.

Izin yang diperlukan untuk menghapus tugas

Di AWS Glue Studio Anda dapat memilih beberapa pekerjaan di konsol untuk dihapus. Untuk melakukan tindakan ini, Anda harus memiliki izin glue:BatchDeleteJob. Hal ini berbeda dari konsol AWS Glue, yang memerlukan izin glue:DeleteJob untuk menghapus tugas.

Izin AWS Key Management Service

Jika Anda berencana mengakses sumber Amazon S3 dan target yang menggunakan enkripsi sisi server dengan AWS Key Management Service (AWS KMS), lampirkan kebijakan ke AWS Glue Studio peran yang digunakan oleh pekerjaan yang memungkinkan pekerjaan mendekripsi data. Peran tugas membutuhkan izin kms:ReEncrypt, kms:GenerateDataKey, dan kms:DescribeKey. Selain itu, peran tugas tersebut membutuhkan izin kms:Decrypt untuk mengunggah atau mengunduh objek Amazon S3 yang dienkripsi dengan sebuah kunci utama pelanggan (CMK) AWS KMS.

Tidak ada biaya tambahan untuk penggunaan AWS KMS CMKs. Untuk informasi selengkapnya, lihat Konsep AWS Key Management Service - Kunci Utama Pelanggan (CMK) dan Harga AWS Key Management Service di Panduan Developer AWS Key Management Service.

Izin diperlukan untuk menggunakan konektor

Jika Anda menggunakan Konektor Kustom AWS Glue dan koneksi untuk mengakses penyimpanan data, maka peran yang digunakan untuk menjalankan tugas ETL AWS Glue membutuhkan izin tambahan terlampir:

  • Kebijakan terkelola AWS AmazonEC2ContainerRegistryReadOnly untuk mengakses konektor yang dibeli dari AWS Marketplace.

  • Izin glue:GetJob dan glue:GetJobs.

  • Izin AWS Secrets Manager untuk mengakses rahasia yang digunakan dengan koneksi. Lihat Contoh: Izin untuk mengambil nilai rahasia misalnya kebijakan IAM.

Jika eksekusi tugas ETL AWS Glue dalam VPC menjalankan Amazon VPC, maka VPC harus dikonfigurasi seperti yang dijelaskan dalam Konfigurasikan VPC untuk pekerjaan ETL Anda.