Memulai dengan notebook di AWS Glue Studio - AWS Glue
Memberikan izin untuk peran IAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulai dengan notebook di AWS Glue Studio

Ketika Anda memulai buku catatanAWS Glue Studio, semua langkah konfigurasi dilakukan untuk Anda sehingga Anda dapat menjelajahi data Anda dan mulai mengembangkan skrip pekerjaan Anda setelah hanya beberapa detik.

Bagian berikut menjelaskan cara membuat peran dan memberikan izin yang sesuai untuk menggunakan buku catatan untuk pekerjaan ETL. AWS Glue Studio

Memberikan izin untuk peran IAM

Menyiapkan AWS Glue Studio adalah prasyarat untuk menggunakan notebook.

Untuk menggunakan buku catatanAWS Glue, peran Anda memerlukan yang berikut:

  • Hubungan kepercayaan dengan AWS Glue untuk sts:AssumeRole tindakan dan, jika Anda ingin menandai makasts:TagSession.

  • Kebijakan IAM yang berisi semua operasi API untuk notebookAWS Glue, dan sesi interaktif.

  • Kebijakan IAM untuk peran lulus karena peran tersebut harus dapat berpindah sendiri dari notebook ke sesi interaktif.

Misalnya, saat membuat peran baru, Anda dapat menambahkan kebijakan AWS terkelola standar seperti AWSGlueConsoleFullAccessRole peran tersebut, lalu menambahkan kebijakan baru untuk operasi buku catatan dan PassRole kebijakan IAM lainnya.

Tindakan yang diperlukan untuk hubungan kepercayaan dengan AWS Glue

Saat memulai sesi buku catatan, Anda harus menambahkan sts:AssumeRole ke hubungan kepercayaan dari peran yang diteruskan ke buku catatan. Jika sesi Anda menyertakan tag, Anda juga harus lulus sts:TagSession tindakan. Tanpa tindakan ini, sesi notebook tidak dapat dimulai.

Misalnya: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "glue.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Kebijakan yang berisi operasi API untuk notebook

Kebijakan contoh berikut menjelaskan izin AWS IAM yang diperlukan untuk buku catatan. Jika Anda membuat peran baru, buat kebijakan yang berisi hal-hal berikut: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:StartNotebook",
                "glue:TerminateNotebook",
                "glue:GlueNotebookRefreshCredentials",
                "glue:DeregisterDataPreview",
                "glue:GetNotebookInstanceStatus",
                "glue:GlueNotebookAuthorize"
            ],
            "Resource": "*"
        }
    ]
}

Anda dapat menggunakan kebijakan IAM berikut untuk mengizinkan akses ke sumber daya tertentu:

  • AwsGlueSessionUserRestrictedNotebookServicePeran: Menyediakan akses penuh ke semua AWS Glue sumber daya kecuali untuk sesi. Memungkinkan pengguna untuk membuat dan menggunakan hanya sesi notebook yang terkait dengan pengguna. Kebijakan ini juga mencakup izin lain yang diperlukan AWS Glue untuk mengelola AWS Glue sumber daya di AWS layanan lain.

  • AwsGlueSessionUserRestrictedNotebookPolicy: Menyediakan izin yang memungkinkan pengguna untuk membuat dan menggunakan hanya sesi notebook yang terkait dengan pengguna. Kebijakan ini juga mencakup izin untuk secara eksplisit mengizinkan pengguna melewati peran sesi terbatasAWS Glue.

Kebijakan IAM untuk lulus peran

Saat Anda membuat buku catatan dengan peran, peran tersebut kemudian diteruskan ke sesi interaktif sehingga peran yang sama dapat digunakan di kedua tempat. Dengan demikian, iam:PassRole izin harus menjadi bagian dari kebijakan peran.

Buat kebijakan baru untuk peran Anda menggunakan contoh berikut. Ganti nomor akun dengan nomor Anda sendiri dan nama peran. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::090000000210:role/<role_name>"
        }
    ]
}