Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Fase 3: Allegare una policy agli utenti o ai gruppi che accedono AWS Glue
L'amministratore deve assegnare le autorizzazioni a qualsiasi utente, gruppo o ruolo utilizzando AWS Glue console o AWS Command Line Interface ()AWS CLI. Puoi fornire queste autorizzazioni usando AWS Identity and Access Management (IAM), tramite le policy. Questa fase descrive l'assegnazione di autorizzazioni a utenti o gruppi.
Una volta completata questa fase, all'utente o al gruppo sono collegate le policy seguenti:
-
La politica AWS gestita
AWSGlueConsoleFullAccess
o la politica personalizzata GlueConsoleAccessPolicy -
AWSGlueConsoleSageMakerNotebookFullAccess
-
CloudWatchLogsReadOnlyAccess
-
AWSCloudFormationReadOnlyAccess
-
AmazonAthenaFullAccess
Per collegare una policy inline e incorporarla in un utente o in un gruppo
È possibile allegare una politica AWS gestita o una politica in linea a un utente o gruppo per accedere a AWS Glue console. Alcune delle risorse specificate in questa politica fanno riferimento a nomi predefiniti utilizzati da AWS Glue per bucket Amazon S3, ETL script Amazon S3, log CloudWatch e risorse Amazon. AWS CloudFormation EC2 Per semplicità, AWS Glue scrive alcuni oggetti Amazon S3 in bucket del tuo account con il prefisso predefinito. aws-glue-*
Nota
Puoi saltare questo passaggio se utilizzi la policy gestita. AWS AWSGlueConsoleFullAccess
Importante
AWS Glue necessita dell'autorizzazione per assumere un ruolo che viene utilizzato per svolgere attività per conto dell'utente. A tale scopo, aggiungi le iam:PassRole
autorizzazioni al tuo AWS Glue utenti o gruppi. Questa politica concede l'autorizzazione ai ruoli che iniziano con AWSGlueServiceRole
per AWS Glue ruoli di servizio e AWSGlueServiceNotebookRole
per i ruoli richiesti quando si crea un server notebook. Puoi anche creare una policy per le autorizzazioni iam:PassRole
che segue la convenzione per la denominazione.
In base alle best practice di sicurezza, si consiglia di limitare l'accesso rafforzando le policy per limitare ulteriormente l'accesso ai bucket Amazon CloudWatch e ai gruppi di log di Amazon S3. Per un esempio di policy di Amazon S3, consulta Writing IAM Policies: How to Grant Access to an Amazon S3
In questa fase, crei una policy simile a AWSGlueConsoleFullAccess
. Puoi trovare la versione più aggiornata di AWSGlueConsoleFullAccess
nella console IAM.
Accedi a AWS Management Console e apri la console all'IAMindirizzo. https://console.aws.amazon.com/iam/
-
Nel pannello di navigazione, scegli Utenti o Gruppi di utenti.
-
Nell'elenco, scegli il nome dell'utente o del gruppo in cui integrare una policy.
-
Scegliere la scheda Permissions (Autorizzazioni) e, se necessario, espandere la sezione Permissions policies (Policy autorizzazioni).
-
Scegli il collegamento Add Inline policy (Aggiungi policy inline).
-
Nella schermata Crea politica, accedi a una scheda per modificarlaJSON. Crea un documento politico con le seguenti JSON dichiarazioni, quindi scegli Rivedi politica.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:*", "redshift:DescribeClusters", "redshift:DescribeClusterSubnetGroups", "iam:ListRoles", "iam:ListUsers", "iam:ListGroups", "iam:ListRolePolicies", "iam:GetRole", "iam:GetRolePolicy", "iam:ListAttachedRolePolicies", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeRouteTables", "ec2:DescribeVpcAttribute", "ec2:DescribeKeyPairs", "ec2:DescribeInstances", "rds:DescribeDBInstances", "rds:DescribeDBClusters", "rds:DescribeDBSubnetGroups", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetBucketAcl", "s3:GetBucketLocation", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "dynamodb:ListTables", "kms:ListAliases", "kms:DescribeKey", "cloudwatch:GetMetricData", "cloudwatch:ListDashboards" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::*/*aws-glue-*/*", "arn:aws:s3:::aws-glue-*" ] }, { "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::aws-glue-*" ] }, { "Effect": "Allow", "Action": [ "logs:GetLogEvents" ], "Resource": [ "arn:aws:logs:*:*:/aws-glue/*" ] }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack" ], "Resource": "arn:aws:cloudformation:*:*:stack/aws-glue*/*" }, { "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:key-pair/*", "arn:aws:ec2:*:*:image/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:volume/*" ] }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/AWSGlueServiceRole*", "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/AWSGlueServiceNotebookRole*", "Condition": { "StringLike": { "iam:PassedToService": [ "ec2.amazonaws.com" ] } } }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/service-role/AWSGlueServiceRole*" ], "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } } ] }
La tabella seguente descrive le autorizzazioni concesse dalla policy.
Azione Risorsa Descrizione "glue:*"
"*"
Concede l'autorizzazione a eseguire tutto AWS Glue APIoperazioni.
Se in precedenza la policy è stata creata senza l'operazione
"glue:*"
, è necessario aggiungere le seguenti autorizzazioni individuali alla policy:-
«collaListCrawlers»:
-
«collaBatchGetCrawlers»:
-
«collaListTriggers»:
-
«collaBatchGetTriggers»:
-
«collaListDevEndpoints»:
-
«collaBatchGetDevEndpoints»:
-
«collaListJobs»:
-
«collaBatchGetJobs»:
"redshift:DescribeClusters", "redshift:DescribeClusterSubnetGroups"
"*"
Permette la creazione di connessioni ad Amazon Redshift.
"iam:ListRoles", "iam:ListRolePolicies", "iam:GetRole", "iam:GetRolePolicy", "iam:ListAttachedRolePolicies"
"*"
Permette di elencare i ruoli IAM quando vengono usati crawler, processi, endpoint di sviluppo e server notebook.
"ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeRouteTables", "ec2:DescribeVpcAttribute", "ec2:DescribeKeyPairs", "ec2:DescribeInstances"
"*"
Consente la configurazione degli elementi della EC2 rete AmazonVPCs, ad esempio durante l'esecuzione di job, crawler ed endpoint di sviluppo.
"rds:DescribeDBInstances"
"*"
Consente la creazione di connessioni ad AmazonRDS.
"s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetBucketAcl", "s3:GetBucketLocation"
"*"
Permette di elencare i bucket Amazon S3 quando vengono usati crawler, processi, endpoint di sviluppo e server notebook.
"dynamodb:ListTables"
"*"
Permette di elencare tabelle DynamoDB.
"kms:ListAliases", "kms:DescribeKey"
"*"
Permette di lavorare con KMS le chiavi.
"cloudwatch:GetMetricData", "cloudwatch:ListDashboards"
"*"
Consente di lavorare con le CloudWatch metriche.
"s3:GetObject", "s3:PutObject"
"arn:aws:s3::: aws-glue-*/*", "arn:aws:s3::: */*aws-glue-*/*", "arn:aws:s3::: aws-glue-*"
Consente di caricare e inserire oggetti Amazon S3 nel tuo account durante l'archiviazione di oggetti come ETL script e posizioni dei server dei notebook.
Convenzione per la denominazione: concede l'autorizzazione alle cartelle o ai bucket Amazon S3 i cui nomi hanno il prefisso aws-glue-.
"tag:GetResources"
"*"
Consente il recupero dei tag. AWS
"s3:CreateBucket", "s3:PutBucketPublicAccessBlock"
"arn:aws:s3::: aws-glue-*"
Consente la creazione di un bucket Amazon S3 nel tuo account durante l'archiviazione di oggetti come ETL script e posizioni dei server dei notebook.
Convenzione per la denominazione: concede l'autorizzazione alle cartelle o ai bucket Amazon S3 i cui nomi hanno il prefisso aws-glue-.
Abilita AWS Glue per creare bucket che bloccano l'accesso pubblico.
"logs:GetLogEvents"
"arn:aws:logs:*:*: /aws-glue/*"
Consente il recupero dei log. CloudWatch
Convenzione di denominazione: AWS Glue scrive i log in gruppi di log i cui nomi iniziano con aws-glue -.
"cloudformation:CreateStack", "cloudformation:DeleteStack"
"arn:aws:cloudformation:*:*:stack/ aws-glue*/*"
Consente la gestione degli AWS CloudFormation stack quando si lavora con server notebook.
Convenzione di denominazione: AWS Glue crea pile i cui nomi iniziano con aws-glue.
"ec2:RunInstances"
"arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:key-pair/*", "arn:aws:ec2:*:*:image/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:volume/*"
Consente l'esecuzione di endpoint di sviluppo e server notebook.
"iam:PassRole"
"arn:aws:iam::*:role/ AWSGlueServiceRole*"
Allows AWS Glue assumere l'
PassRole
autorizzazione per i ruoli che iniziano con.AWSGlueServiceRole
"iam:PassRole"
"arn:aws:iam::*:role/ AWSGlueServiceNotebookRole*"
Consente EC2 ad Amazon di assumere
PassRole
l'autorizzazione per i ruoli che iniziano conAWSGlueServiceNotebookRole
."iam:PassRole"
"arn:aws:iam::*:role/service-role/ AWSGlueServiceRole*"
Allows AWS Glue di assumere
PassRole
l'autorizzazione per i ruoli che iniziano conservice-role/AWSGlueServiceRole
. -
-
Nella schermata Revisione della politica, inserisci un nome per la politica, ad esempio GlueConsoleAccessPolicy. Al termine, scegliere Create policy (Crea policy). Assicurati che non siano presenti errori in una casella rossa nella parte superiore dello schermo. Correggi gli eventuali errori segnalati.
Nota
Se Use autoformatting (Usa formattazione automatica) è selezionato, la policy viene riformattata ogni volta che pari una policy oppure scegli Validate Policy (Convalida policy).
Per allegare la politica AWSGlueConsoleFullAccess gestita
È possibile allegare la AWSGlueConsoleFullAccess
politica per fornire le autorizzazioni richieste dal AWS Glue utente della console.
Nota
Puoi saltare questo passaggio se hai creato la tua politica per AWS Glue accesso alla console.
Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel riquadro di navigazione, seleziona Policy.
-
Nell'elenco delle politiche, seleziona la casella di controllo accanto a AWSGlueConsoleFullAccess. Puoi utilizzare il menu Filtro e la casella di ricerca per filtrare l'elenco di policy.
-
Scegli Operazioni di policy, quindi Collega.
-
Sceglie l'utente a cui collegare la policy. Puoi usare il menu Filtro e la casella di ricerca per filtrare l'elenco delle entità principali. Dopo aver scelto l'utente a cui collegare la policy, scegli Attach policy (Collega policy).
Per collegare la policy gestita AWSGlueConsoleSageMakerNotebookFullAccess
.
Puoi allegare la AWSGlueConsoleSageMakerNotebookFullAccess
policy a un utente per gestire i notebook SageMaker AI creati su AWS Glue console. Oltre ad altri requisiti AWS Glue autorizzazioni della console, questa politica consente l'accesso alle risorse necessarie per gestire i notebook SageMaker AI.
Accedi a AWS Management Console e apri la console all'indirizzo. IAM https://console.aws.amazon.com/iam/
-
Nel riquadro di navigazione, seleziona Policy.
-
Nell'elenco delle politiche, seleziona la casella di controllo accanto a AWSGlueConsoleSageMakerNotebookFullAccess. Puoi utilizzare il menu Filtro e la casella di ricerca per filtrare l'elenco di policy.
-
Scegli Operazioni di policy, quindi Collega.
-
Sceglie l'utente a cui collegare la policy. Puoi usare il menu Filtro e la casella di ricerca per filtrare l'elenco delle entità principali. Dopo aver scelto l'utente a cui collegare la policy, scegli Attach policy (Collega policy).
Per allegare la politica CloudWatchLogsReadOnlyAccess gestita
È possibile allegare la CloudWatchLogsReadOnlyAccesspolicy a un utente per visualizzare i log creati da AWS Glue nella console CloudWatch Logs.
Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel riquadro di navigazione, seleziona Policy.
-
Nell'elenco delle politiche, seleziona la casella di controllo accanto a CloudWatchLogsReadOnlyAccess. Puoi utilizzare il menu Filtro e la casella di ricerca per filtrare l'elenco di policy.
-
Scegli Operazioni di policy, quindi Collega.
-
Sceglie l'utente a cui collegare la policy. Puoi usare il menu Filtro e la casella di ricerca per filtrare l'elenco delle entità principali. Dopo aver scelto l'utente a cui collegare la policy, scegli Attach policy (Collega policy).
Per allegare la politica AWSCloudFormationReadOnlyAccess gestita
È possibile allegare la AWSCloudFormationReadOnlyAccesspolicy a un utente per visualizzare gli AWS CloudFormation stack utilizzati da AWS Glue sulla AWS CloudFormation console.
Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel riquadro di navigazione, seleziona Policy.
-
Nell'elenco delle politiche, seleziona la casella di controllo accanto a AWSCloudFormationReadOnlyAccess. Puoi utilizzare il menu Filtro e la casella di ricerca per filtrare l'elenco di policy.
-
Scegli Operazioni di policy, quindi Collega.
-
Sceglie l'utente a cui collegare la policy. Puoi usare il menu Filtro e la casella di ricerca per filtrare l'elenco delle entità principali. Dopo aver scelto l'utente a cui collegare la policy, scegli Attach policy (Collega policy).
Per allegare la politica AmazonAthenaFullAccess gestita
Puoi allegare la AmazonAthenaFullAccesspolicy a un utente per visualizzare i dati di Amazon S3 nella console Athena.
Accedi AWS Management Console e apri la IAM console all'indirizzo. https://console.aws.amazon.com/iam/
-
Nel riquadro di navigazione, seleziona Policy.
-
Nell'elenco delle politiche, seleziona la casella di controllo accanto a AmazonAthenaFullAccess. Puoi utilizzare il menu Filtro e la casella di ricerca per filtrare l'elenco di policy.
-
Scegli Operazioni di policy, quindi Collega.
-
Sceglie l'utente a cui collegare la policy. Puoi usare il menu Filtro e la casella di ricerca per filtrare l'elenco delle entità principali. Dopo aver scelto l'utente a cui collegare la policy, scegli Attach policy (Collega policy).